Libapache-mod-jk
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
8.1
Макс. EPSS
0.90647
Распределение по критичности
Критический
0
Высокий
3
Средний
3
Низкий
1
Также сопоставлено как (исходные строки): libapache-mod-jk
Топ уязвимостей
CVE-2016-6808Переполнение буфера в Apache Tomcat Connectors (mod_jk) до версии 1.2.42.
CVE-2023-41081Важно: обход аутентификации CVE-2023-41081
Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конфигурация включала «JkOptions +ForwardDirectories», но конфигурация не предоставляла явных подключений для всех возможных проксированных запросов, mod_jk использовал бы неявное сопоставление и сопоставлял запрос с первым определенным работником. Такое неявное сопоставление могло привести к непреднамеренному раскрытию рабочего статуса и/или обходу ограничений безопасности, настроенных в httpd. Начиная с JK 1.2.49, функция неявного сопоставления была удалена, и теперь все сопоставления должны выполняться через явную конфигурацию. Эта проблема затрагивает только mod_jk. ISAPI redirector не затрагивается.
Эта проблема затрагивает Apache Tomcat Connectors (только mod_jk): с 1.2.0 по 1.2.48.
Пользователям рекомендуется обновиться до версии 1.2.49, в которой эта проблема устранена.
История
2023-09-13 Оригинальное уведомление
2023-09-28 Обновленное резюме
CVE-2018-11759Специфичный для Apache Web Server (httpd) код, который нормализовал запрошенный путь перед сопоставлением его с картой URI-worker в Apache Tomcat JK (mod_jk) Connector 1.2.0 - 1.2.44, не обрабатывал некоторые крайние случаи должным образом. Если через httpd был предоставлен только поднабор URL-адресов, поддерживаемых Tomcat, то специально сконструированный запрос мог предоставить функциональность приложения через обратный прокси, который не был предназначен для клиентов, обращающихся к приложению через обратный прокси. В некоторых конфигурациях также было возможно для специально сконструированного запроса обойти средства контроля доступа, настроенные в httpd. Хотя существует некоторое пересечение между этой проблемой и CVE-2018-1323, они не идентичны.
CVE-2024-46544Некорректные разрешения по умолчанию в Apache Tomcat Connectors позволяют локальным пользователям просматривать и изменять общую память, содержащую конфигурацию mod_jk, что может привести к раскрытию информации и/или отказу в обслуживании.
Эта проблема затрагивает Apache Tomcat Connectors: с 1.2.9-beta по 1.2.49. Затронут только mod_jk в Unix-подобных системах. Ни ISAPI redirector, ни mod_jk в Windows не затронуты.
Рекомендуется обновить версию до 1.2.50, в которой исправлена проблема.
CVE-2014-8111Apache Tomcat Connectors (mod_jk) версий до 1.2.41 игнорирует правила JkUnmount для поддеревьев предыдущих правил JkMount, что позволяет удаленным злоумышленникам получать доступ к иным образом ограниченным артефактам через неуказанные векторы.
CVE-2007-1860mod_jk в Apache Tomcat JK Web Server Connector 1.2.x до 1.2.23 декодирует URL-адреса запросов в Apache HTTP Server перед передачей URL-адреса в Tomcat, что позволяет удаленным злоумышленникам получать доступ к защищенным страницам через специально созданный префикс JkMount, возможно, включающий двойное кодирование .. (dot dot) последовательностей и directory traversal, что является проблемой, связанной с CVE-2007-0450.
CVE-2008-5519JK Connector (aka mod_jk) 1.2.0 до 1.2.26 в Apache Tomcat позволяет удаленным злоумышленникам получать конфиденциальную информацию через произвольный запрос от HTTP-клиента в благоприятных обстоятельствах, связанных с (1) запросом от другого клиента, который включал заголовок Content-Length, но не включал данные POST, или (2) быстрой серией запросов, связанных с несоблюдением требований протокола AJP для запросов, содержащих заголовки Content-Length.