Tomcat Connectors
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.07109
Распределение по критичности
Критический
0
Высокий
2
Средний
2
Низкий
0
Затронутые диапазоны версий
1.2.0–1.2.491.2.9–1.2.50≤ 1.2.40
Также сопоставлено как (исходные строки): tomcat_connectors,tomcat connectors
Топ уязвимостей
CVE-2023-41081Важно: обход аутентификации CVE-2023-41081
Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конфигурация включала «JkOptions +ForwardDirectories», но конфигурация не предоставляла явных подключений для всех возможных проксированных запросов, mod_jk использовал бы неявное сопоставление и сопоставлял запрос с первым определенным работником. Такое неявное сопоставление могло привести к непреднамеренному раскрытию рабочего статуса и/или обходу ограничений безопасности, настроенных в httpd. Начиная с JK 1.2.49, функция неявного сопоставления была удалена, и теперь все сопоставления должны выполняться через явную конфигурацию. Эта проблема затрагивает только mod_jk. ISAPI redirector не затрагивается.
Эта проблема затрагивает Apache Tomcat Connectors (только mod_jk): с 1.2.0 по 1.2.48.
Пользователям рекомендуется обновиться до версии 1.2.49, в которой эта проблема устранена.
История
2023-09-13 Оригинальное уведомление
2023-09-28 Обновленное резюме
BDU:2023-05818Уязвимость конфигурации JkOptions+ForwardDirectories модуля mod_jk пакета серверных модулей для подключения к серверу приложений Tomcat Apache Tomcat Connectors связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
CVE-2024-46544Некорректные разрешения по умолчанию в Apache Tomcat Connectors позволяют локальным пользователям просматривать и изменять общую память, содержащую конфигурацию mod_jk, что может привести к раскрытию информации и/или отказу в обслуживании.
Эта проблема затрагивает Apache Tomcat Connectors: с 1.2.9-beta по 1.2.49. Затронут только mod_jk в Unix-подобных системах. Ни ISAPI redirector, ни mod_jk в Windows не затронуты.
Рекомендуется обновить версию до 1.2.50, в которой исправлена проблема.
CVE-2014-8111Apache Tomcat Connectors (mod_jk) версий до 1.2.41 игнорирует правила JkUnmount для поддеревьев предыдущих правил JkMount, что позволяет удаленным злоумышленникам получать доступ к иным образом ограниченным артефактам через неуказанные векторы.