V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DebianДистрибутивdebian

Libapache-mod-jk

Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
8.1
Макс. EPSS
0.90647

Распределение по критичности

Критический
0
Высокий
5
Средний
3
Низкий
1
Также сопоставлено как (исходные строки): libapache-mod-jk

Топ уязвимостей

CVE-2016-6808Переполнение буфера в Apache Tomcat Connectors (mod_jk) до версии 1.2.42.
CVE-2023-41081Важно: обход аутентификации CVE-2023-41081 Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конфигурация включала «JkOptions +ForwardDirectories», но конфигурация не предоставляла явных подключений для всех возможных проксированных запросов, mod_jk использовал бы неявное сопоставление и сопоставлял запрос с первым определенным работником. Такое неявное сопоставление могло привести к непреднамеренному раскрытию рабочего статуса и/или обходу ограничений безопасности, настроенных в httpd. Начиная с JK 1.2.49, функция неявного сопоставления была удалена, и теперь все сопоставления должны выполняться через явную конфигурацию. Эта проблема затрагивает только mod_jk. ISAPI redirector не затрагивается. Эта проблема затрагивает Apache Tomcat Connectors (только mod_jk): с 1.2.0 по 1.2.48. Пользователям рекомендуется обновиться до версии 1.2.49, в которой эта проблема устранена. История 2023-09-13 Оригинальное уведомление 2023-09-28 Обновленное резюме
CVE-2018-1323Специфический для IIS/ISAPI код в Apache Tomcat JK ISAPI Connector версий 1.2.0 - 1.2.42, который нормализовал запрошенный путь перед его сопоставлением с URI-worker map, не обрабатывал некоторые крайние случаи корректно. Если через IIS был предоставлен только подмножество URL-адресов, поддерживаемых Tomcat, то специально созданный запрос мог раскрыть функциональность приложения через обратный прокси, которая не предназначалась для клиентов, обращающихся к Tomcat через обратный прокси.
CVE-2018-11759Специфичный для Apache Web Server (httpd) код, который нормализовал запрошенный путь перед сопоставлением его с картой URI-worker в Apache Tomcat JK (mod_jk) Connector 1.2.0 - 1.2.44, не обрабатывал некоторые крайние случаи должным образом. Если через httpd был предоставлен только поднабор URL-адресов, поддерживаемых Tomcat, то специально сконструированный запрос мог предоставить функциональность приложения через обратный прокси, который не был предназначен для клиентов, обращающихся к приложению через обратный прокси. В некоторых конфигурациях также было возможно для специально сконструированного запроса обойти средства контроля доступа, настроенные в httpd. Хотя существует некоторое пересечение между этой проблемой и CVE-2018-1323, они не идентичны.
CVE-2007-0774Переполнение буфера на основе стека в функции map_uri_to_worker (native/common/jk_uri_worker_map.c) в mod_jk.so для Apache Tomcat JK Web Server Connector 1.2.19 и 1.2.20, используемого в Tomcat 4.1.34 и 5.5.20, позволяет удаленным злоумышленникам выполнять произвольный код через длинный URL-адрес, который вызывает переполнение в подпрограмме URI worker map.
CVE-2024-46544Некорректные разрешения по умолчанию в Apache Tomcat Connectors позволяют локальным пользователям просматривать и изменять общую память, содержащую конфигурацию mod_jk, что может привести к раскрытию информации и/или отказу в обслуживании. Эта проблема затрагивает Apache Tomcat Connectors: с 1.2.9-beta по 1.2.49. Затронут только mod_jk в Unix-подобных системах. Ни ISAPI redirector, ни mod_jk в Windows не затронуты. Рекомендуется обновить версию до 1.2.50, в которой исправлена проблема.
CVE-2014-8111Apache Tomcat Connectors (mod_jk) версий до 1.2.41 игнорирует правила JkUnmount для поддеревьев предыдущих правил JkMount, что позволяет удаленным злоумышленникам получать доступ к иным образом ограниченным артефактам через неуказанные векторы.
CVE-2007-1860mod_jk в Apache Tomcat JK Web Server Connector 1.2.x до 1.2.23 декодирует URL-адреса запросов в Apache HTTP Server перед передачей URL-адреса в Tomcat, что позволяет удаленным злоумышленникам получать доступ к защищенным страницам через специально созданный префикс JkMount, возможно, включающий двойное кодирование .. (dot dot) последовательностей и directory traversal, что является проблемой, связанной с CVE-2007-0450.
CVE-2008-5519JK Connector (aka mod_jk) 1.2.0 до 1.2.26 в Apache Tomcat позволяет удаленным злоумышленникам получать конфиденциальную информацию через произвольный запрос от HTTP-клиента в благоприятных обстоятельствах, связанных с (1) запросом от другого клиента, который включал заголовок Content-Length, но не включал данные POST, или (2) быстрой серией запросов, связанных с несоблюдением требований протокола AJP для запросов, содержащих заголовки Content-Length.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →