• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Несанкционированные действия

Главная Специалистам База уязвимостей Несанкционированные действия

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Apache Tomcat (7.0.0, 7.0.78, 8.0.0, 8.0.44, 8.5.0, 8.5.15, 9.0.0.M1, 9.0.0.M21)
Описание
Реализация страниц ошибок (в соответствии со спецификацией сервлетов Java) требует, чтобы при возникновении ошибки, для которой предусмотрена страница, исходный запрос и ответ направлялись странице ошибки. Это означает, что запрос для страницы ошибки отправляется с исходным HTTP-методом. Если страница ошибки представляет собой статический файл, то содержимое файла должно обрабатываться как GET-запрос, независимо от фактического HTTP-метода. Сервлет по умолчанию в Apache Tomcat действует иным образом. В зависимости от изначального запроса, это может привести к непредусмотренным и нежелательным последствиям для статических страниц ошибок, включая замену или удаление пользовательских страниц ошибок, если DefaultServlet имеет разрешение на запись. Примечания для пользовательских страниц ошибок: 1) при отсутствии специальных настроек JSP игнорирует HTTP-метод. JSP, используемые в качестве страниц ошибок, должны обеспечивать обработку всех ошибок как GET-запросы, независимо от фактического метода; 2) по умолчанию, ответ, сформированный сервлетом, зависит от HTTP-метода. Пользовательские сервлеты, используемые в качестве страниц ошибок, должны обеспечивать обработку всех ошибок как GET-запросы, независимо от фактического метода.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://tomcat.apache.org/