Tomcat7
Уязвимости
84
Эксплуатируемые
4
Макс. CVSS
9.8
Макс. EPSS
0.99988
Распределение по критичности
Критический
1
Высокий
28
Средний
42
Низкий
13
Также сопоставлено как (исходные строки): tomcat7
Топ уязвимостей
CVE-2019-17571В Log4j 1.2 включен класс SocketServer, который уязвим для десериализации ненадежных данных, что можно использовать для удаленного выполнения произвольного кода в сочетании с гаджетом десериализации при прослушивании ненадежного сетевого трафика для данных журнала. Это затрагивает версии Log4j до 1.2 до 1.2.17.
CVE-2022-23307CVE-2020-9493 выявила проблему десериализации, которая присутствовала в Apache Chainsaw. До Chainsaw V2.0 Chainsaw был компонентом Apache Log4j 1.2.x, где существует та же проблема.
CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2016-0714Реализация session-persistence в Apache Tomcat версий 6.x до 6.0.45, 7.x до 7.0.68, 8.x до 8.0.31 и 9.x до 9.0.0.M2 неправильно обрабатывает атрибуты сессии, что позволяет удаленным аутентифицированным пользователям обходить предусмотренные ограничения SecurityManager и выполнять произвольный код в привилегированном контексте через веб-приложение, которое помещает специально созданный объект в сессию.
CVE-2015-5351Приложения (1) Manager и (2) Host Manager в Apache Tomcat 7.x до версии 7.0.68, 8.x до версии 8.0.31 и 9.x до версии 9.0.0.M2 устанавливают сессии и отправляют токены CSRF для произвольных новых запросов, что позволяет удаленным злоумышленникам обходить механизм защиты CSRF, используя токен.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2017-12617При работе Apache Tomcat версий 9.0.0.M1 - 9.0.0, 8.5.0 - 8.5.22, 8.0.0.RC1 - 8.0.46 и 7.0.0 - 7.0.81 с включенными HTTP PUT (например, путем установки для параметра readonly initialisation сервлета Default значения false), можно было загрузить JSP-файл на сервер с помощью специально созданного запроса. Затем этот JSP можно было запросить, и любой код, содержащийся в нем, выполнялся бы сервером.
CVE-2017-12615При работе Apache Tomcat 7.0.0 - 7.0.79 в Windows с включенными HTTP PUT (например, путем установки для параметра readonly initialisation значения false по умолчанию), можно было загрузить JSP-файл на сервер с помощью специально созданного запроса. Затем этот JSP можно было запросить, и любой код, содержащийся в нем, выполнялся бы сервером.
CVE-2016-8735Удаленное выполнение кода возможно в Apache Tomcat до версий 6.0.48, 7.x до 7.0.73, 8.x до 8.0.39, 8.5.x до 8.5.7 и 9.x до 9.0.0.M12, если используется JmxRemoteLifecycleListener и злоумышленник может получить доступ к портам JMX. Проблема существует из-за того, что этот прослушиватель не был обновлен для обеспечения согласованности с патчем Oracle CVE-2016-3427, который повлиял на типы учетных данных.
CVE-2015-5346Уязвимость фиксации сессии в Apache Tomcat 7.x до версии 7.0.66, 8.x до версии 8.0.30 и 9.x до версии 9.0.0.M2, когда для развертываний нескольких версий одного и того же веб-приложения используются разные настройки сессии, может позволить удаленным злоумышленникам перехватывать веб-сессии, используя поле requestedSessionSSL для непреднамеренного запроса, связанного с CoyoteAdapter.java и Request.java.
CVE-2016-6325Пакет Tomcat в Red Hat Enterprise Linux (RHEL) 5–7, JBoss Web Server 3.0 и JBoss EWS 2 использует слабые разрешения для (1) /etc/sysconfig/tomcat и (2) /etc/tomcat/tomcat.conf, что позволяет локальным пользователям получать привилегии, используя членство в группе tomcat.
CVE-2020-1938При использовании протокола Apache JServ (AJP) необходимо проявлять осторожность при доверии входящим соединениям к Apache Tomcat. Tomcat рассматривает AJP соединения как имеющие большую степень доверия, чем, например, аналогичные HTTP соединения. Если такие соединения доступны злоумышленнику, их можно эксплуатировать неожиданными способами. В Apache Tomcat версий 9.0.0.M1 до 9.0.0.30, 8.5.0 до 8.5.50 и 7.0.0 до 7.0.99, Tomcat был поставлен с включенным соединителем AJP по умолчанию, который прослушивал все настроенные IP-адреса. Ожидалось (и рекомендовалось в руководстве по безопасности), что этот соединитель будет отключен, если он не требуется. Этот отчет об уязвимости выявил механизм, который позволял: - возвращать произвольные файлы из любого места в веб-приложении - обрабатывать любые файлы веб-приложения как JSP Более того, если веб-приложение позволяло загрузку файлов и сохраняло эти файлы внутри веб-приложения (или злоумышленник мог контролировать содержимое веб-приложения каким-либо другим способом), то это, вместе с возможностью обрабатывать файл как JSP, делало возможным удаленное выполнение кода. Важно отметить, что смягчения необходимы только в том случае, если порт AJP доступен для ненадежных пользователей. Пользователи, желающие применять подход защитной глубины и блокировать вектор, который позволяет возвращать произвольные файлы и выполнять их как JSP, могут обновиться до Apache Tomcat 9.0.31, 8.5.51 или 7.0.100 или более поздней версии. В версии 9.0.31 было внесено множество изменений в конфигурацию соединителя AJP по умолчанию для повышения защищенности. Вероятно, пользователям, обновляющимся до 9.0.31, 8.5.51 или 7.0.100 или более поздней версии, потребуется внести небольшие изменения в свои конфигурации.
CVE-2021-4104JMSAppender в Log4j 1.2 уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j. Злоумышленник может предоставить конфигурации TopicBindingName и TopicConnectionFactoryBindingName, заставляя JMSAppender выполнять JNDI-запросы, которые приводят к удаленному выполнению кода аналогично CVE-2021-44228. Обратите внимание, что эта проблема затрагивает только Log4j 1.2, когда он специально настроен на использование JMSAppender, что не является настройкой по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует обновить Log4j 2, поскольку он решает множество других проблем из предыдущих версий.
CVE-2020-13935Длина полезной нагрузки во фрейме WebSocket была неправильно проверена в Apache Tomcat 10.0.0-M1 - 10.0.0-M6, 9.0.0.M1 - 9.0.36, 8.5.0 - 8.5.56 и 7.0.27 - 7.0.104. Недопустимая длина полезной нагрузки могла вызвать бесконечный цикл. Несколько запросов с недопустимой длиной полезной нагрузки могли привести к отказу в обслуживании.
CVE-2019-17563При использовании аутентификации FORM с Apache Tomcat 9.0.0.M1 - 9.0.29, 8.5.0 - 8.5.49 и 7.0.0 - 7.0.98 существовало узкое окно, в котором злоумышленник мог выполнить атаку session fixation. Окно считалось слишком узким, чтобы эксплойт был практическим, но, предостерегаясь, эта проблема была рассмотрена как уязвимость безопасности.
CVE-2018-1336Неправильная обработка переполнения в декодере UTF-8 с дополнительными символами может привести к бесконечному циклу в декодере, вызывающему отказ в обслуживании. Затронутые версии: Apache Tomcat 9.0.0.M9 - 9.0.7, 8.5.0 - 8.5.30, 8.0.0.RC1 - 8.0.51 и 7.0.28 - 7.0.86.
CVE-2017-5664Механизм страниц ошибок спецификации Java Servlet требует, чтобы при возникновении ошибки и настройке страницы ошибки для произошедшей ошибки исходный запрос и ответ перенаправлялись на страницу ошибки. Это означает, что запрос представляется странице ошибки с исходным HTTP-методом. Если страница ошибки является статическим файлом, ожидаемым поведением является обслуживание содержимого файла, как если бы обрабатывался запрос GET, независимо от фактического HTTP-метода. Default Servlet в Apache Tomcat 9.0.0.M1 - 9.0.0.M20, 8.5.0 - 8.5.14, 8.0.0.RC1 - 8.0.43 и 7.0.0 - 7.0.77 этого не делал. В зависимости от исходного запроса это могло привести к неожиданным и нежелательным результатам для статических страниц ошибок, включая, если DefaultServlet настроен на разрешение записи, замену или удаление пользовательской страницы ошибки. Примечания для других пользовательских страниц ошибок: (1) Если явно не указано иное, JSP игнорируют HTTP-метод. JSP, используемые в качестве страниц ошибок, должны обеспечивать обработку любой отправки ошибок как GET-запроса, независимо от фактического метода. (2) По умолчанию ответ, сгенерированный Servlet, зависит от HTTP-метода. Пользовательские Servlet, используемые в качестве страниц ошибок, должны обеспечивать обработку любой отправки ошибок как GET-запроса, независимо от фактического метода.
CVE-2017-5647Ошибка в обработке конвейерных запросов в Apache Tomcat 9.0.0.M1–9.0.0.M18, 8.5.0–8.5.12, 8.0.0.RC1–8.0.42, 7.0.0–7.0.76 и 6.0.0–6.0.52, когда использовалась отправка файла, приводит к потере конвейерного запроса при завершении обработки отправки файла предыдущего запроса. Это может привести к тому, что ответы будут отправлены для неправильного запроса. Например, пользовательский агент, отправивший запросы A, B и C, может увидеть правильный ответ на запрос A, ответ на запрос C для запроса B и отсутствие ответа на запрос C.
CVE-2016-8745Ошибка в обработке ошибок кода отправки файла для соединителя NIO HTTP в Apache Tomcat с 9.0.0.M1 по 9.0.0.M13, с 8.5.0 по 8.5.8, с 8.0.0.RC1 по 8.0.39, с 7.0.0 по 7.0.73 и с 6.0.16 по 6.0.48 привела к тому, что текущий объект Processor добавлялся в кеш Processor несколько раз. Это, в свою очередь, означало, что один и тот же процессор можно было использовать для одновременных запросов. Совместное использование процессора может привести к утечке информации между запросами, включая, но не ограничиваясь этим, идентификатор сеанса и тело ответа. Ошибка была впервые замечена в версиях 8.5.x и выше, где, по-видимому, рефакторинг кода Connector для версий 8.5.x и выше сделал более вероятным обнаружение ошибки. Первоначально считалось, что рефакторинг 8.5.x внес ошибку, но дальнейшее исследование показало, что ошибка присутствует во всех поддерживаемых в настоящее время версиях Tomcat.
CVE-2016-8610Обнаружена уязвимость отказа в обслуживании в OpenSSL 0.9.8, 1.0.1, 1.0.2 до 1.0.2h и 1.1.0 в способе, которым протокол TLS/SSL определял обработку пакетов ALERT во время подтверждения соединения. Удаленный злоумышленник может использовать этот недостаток, чтобы заставить TLS/SSL-сервер потреблять чрезмерное количество ресурсов ЦП и не принимать соединения от других клиентов.
CVE-2016-6304Множественные утечки памяти в t1_lib.c в OpenSSL версий до 1.0.1u, 1.0.2 до 1.0.2i и 1.1.0 до 1.1.0a позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через большие расширения OCSP Status Request.
CVE-2016-3092Класс MultipartStream в Apache Commons Fileupload до 1.3.2, используемый в Apache Tomcat 7.x до 7.0.70, 8.x до 8.0.36, 8.5.x до 8.5.3 и 9.x до 9.0.0.M7 и других продуктах, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов процессора) через длинную строку boundary.
CVE-2016-2183Шифры DES и Triple DES, используемые в протоколах TLS, SSH и IPSec, а также в других протоколах и продуктах, имеют предел birthday bound, составляющий примерно четыре миллиарда блоков, что упрощает удаленным злоумышленникам получение данных в открытом виде с помощью birthday attack против зашифрованного сеанса длительного действия, как показано на примере сеанса HTTPS, использующего Triple DES в режиме CBC, также известного как атака "Sweet32".
CVE-2019-12418Когда Apache Tomcat 9.0.0.M1 - 9.0.28, 8.5.0 - 8.5.47, 7.0.0 и 7.0.97 настроен с JMX Remote Lifecycle Listener, локальный злоумышленник без доступа к процессу Tomcat или файлам конфигурации может манипулировать реестром RMI для выполнения атаки "человек посередине" для захвата имен пользователей и паролей, используемых для доступа к интерфейсу JMX. Затем злоумышленник может использовать эти учетные данные для доступа к интерфейсу JMX и получения полного контроля над экземпляром Tomcat.