Action not permitted
Modal body text goes here.
Modal Title
Modal Body
cve-2022-29885
Vulnerability from cvelistv5
Published
2022-05-12 00:00
Modified
2024-08-03 06:33
Severity ?
EPSS score ?
Summary
The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.
References
Impacted products
| Vendor | Product | Version | ||
|---|---|---|---|---|
| Apache Software Foundation | Apache Tomcat |
Version: Apache Tomcat 10.1 10.1.0-M1 to 10.1.0-M14 Version: Apache Tomcat 10 10.0.0-M1 to 10.0.20 Version: Apache Tomcat 9 9.0.13 to 9.0.62 Version: Apache Tomcat 8.5 8.5.38 to 8.5.78 |
{ containers: { adp: [ { providerMetadata: { dateUpdated: "2024-08-03T06:33:42.950Z", orgId: "af854a3a-2127-422b-91ae-364da2661108", shortName: "CVE", }, references: [ { tags: [ "x_transferred", ], url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { tags: [ "x_transferred", ], url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, { tags: [ "x_transferred", ], url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { name: "[debian-lts-announce] 20221026 [SECURITY] [DLA 3160-1] tomcat9 security update", tags: [ "mailing-list", "x_transferred", ], url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { name: "DSA-5265", tags: [ "vendor-advisory", "x_transferred", ], url: "https://www.debian.org/security/2022/dsa-5265", }, { tags: [ "x_transferred", ], url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, ], title: "CVE Program Container", }, ], cna: { affected: [ { product: "Apache Tomcat", vendor: "Apache Software Foundation", versions: [ { status: "affected", version: "Apache Tomcat 10.1 10.1.0-M1 to 10.1.0-M14", }, { status: "affected", version: "Apache Tomcat 10 10.0.0-M1 to 10.0.20", }, { status: "affected", version: "Apache Tomcat 9 9.0.13 to 9.0.62", }, { status: "affected", version: "Apache Tomcat 8.5 8.5.38 to 8.5.78 ", }, ], }, ], credits: [ { lang: "en", value: "This issue was reported to the Apache Tomcat Security team by 4ra1n.", }, ], descriptions: [ { lang: "en", value: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", }, ], metrics: [ { other: { content: { other: "low", }, type: "unknown", }, }, ], problemTypes: [ { descriptions: [ { cweId: "CWE-400", description: "CWE-400 Uncontrolled Resource Consumption", lang: "en", type: "CWE", }, ], }, ], providerMetadata: { dateUpdated: "2023-04-06T00:00:00", orgId: "f0158376-9dc2-43b6-827c-5f631a4d8d09", shortName: "apache", }, references: [ { url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, { url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { name: "[debian-lts-announce] 20221026 [SECURITY] [DLA 3160-1] tomcat9 security update", tags: [ "mailing-list", ], url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { name: "DSA-5265", tags: [ "vendor-advisory", ], url: "https://www.debian.org/security/2022/dsa-5265", }, { url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, ], source: { discovery: "UNKNOWN", }, title: "EncryptInterceptor does not provide complete protection on insecure networks", x_generator: { engine: "Vulnogram 0.0.9", }, }, }, cveMetadata: { assignerOrgId: "f0158376-9dc2-43b6-827c-5f631a4d8d09", assignerShortName: "apache", cveId: "CVE-2022-29885", datePublished: "2022-05-12T00:00:00", dateReserved: "2022-04-28T00:00:00", dateUpdated: "2024-08-03T06:33:42.950Z", state: "PUBLISHED", }, dataType: "CVE_RECORD", dataVersion: "5.1", "vulnerability-lookup:meta": { nvd: "{\"cve\":{\"id\":\"CVE-2022-29885\",\"sourceIdentifier\":\"security@apache.org\",\"published\":\"2022-05-12T08:15:07.630\",\"lastModified\":\"2024-11-21T06:59:54.297\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.\"},{\"lang\":\"es\",\"value\":\"La documentación de Apache Tomcat versiones 10.1.0-M1 a 10.1.0-M14, 10.0.0-M1 a 10.0.20, 9.0.13 a 9.0.62 y 8.5.38 a 8.5.78, para el EncryptInterceptor indicaba incorrectamente que permitía que el clustering de Tomcat fuera ejecutado sobre una red no confiable. Esto no es correcto. Mientras que el EncryptInterceptor proporciona confidencialidad y protección de la integridad, no protege contra todos los riesgos asociados con la ejecución de cualquier red no confiable, particularmente los riesgos de DoS\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:N/AC:L/Au:N/C:N/I:N/A:P\",\"baseScore\":5.0,\"accessVector\":\"NETWORK\",\"accessComplexity\":\"LOW\",\"authentication\":\"NONE\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"PARTIAL\"},\"baseSeverity\":\"MEDIUM\",\"exploitabilityScore\":10.0,\"impactScore\":2.9,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":false}]},\"weaknesses\":[{\"source\":\"security@apache.org\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-400\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"NVD-CWE-noinfo\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"8.5.38\",\"versionEndIncluding\":\"8.5.78\",\"matchCriteriaId\":\"EF71095E-12F3-4461-BAE9-1EB65BA50916\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"9.0.13\",\"versionEndIncluding\":\"9.0.62\",\"matchCriteriaId\":\"F31172AB-31C6-4F32-B9CC-2F363A9DEF94\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"10.0.0\",\"versionEndIncluding\":\"10.0.20\",\"matchCriteriaId\":\"BFC41BAB-1EA0-444F-AD16-4A341BD642E9\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone1:*:*:*:*:*:*\",\"matchCriteriaId\":\"6D402B5D-5901-43EB-8E6A-ECBD512CE367\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone10:*:*:*:*:*:*\",\"matchCriteriaId\":\"33C71AE1-B38E-4783-BAC2-3CDA7B4D9EBA\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone11:*:*:*:*:*:*\",\"matchCriteriaId\":\"F6BD4180-D3E8-42AB-96B1-3869ECF47F6C\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone12:*:*:*:*:*:*\",\"matchCriteriaId\":\"64668CCF-DBC9-442D-9E0F-FD40E1D0DDB7\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone13:*:*:*:*:*:*\",\"matchCriteriaId\":\"FC64BB57-4912-481E-AE8D-C8FCD36142BB\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone14:*:*:*:*:*:*\",\"matchCriteriaId\":\"49B43BFD-6B6C-4E6D-A9D8-308709DDFB44\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone2:*:*:*:*:*:*\",\"matchCriteriaId\":\"9846609D-51FC-4CDD-97B3-8C6E07108F14\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone3:*:*:*:*:*:*\",\"matchCriteriaId\":\"2E321FB4-0B0C-497A-BB75-909D888C93CB\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone4:*:*:*:*:*:*\",\"matchCriteriaId\":\"3B0CAE57-AF7A-40E6-9519-F5C9F422C1BE\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone5:*:*:*:*:*:*\",\"matchCriteriaId\":\"7CB9D150-EED6-4AE9-BCBE-48932E50035E\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone6:*:*:*:*:*:*\",\"matchCriteriaId\":\"D334103F-F64E-4869-BCC8-670A5AFCC76C\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone7:*:*:*:*:*:*\",\"matchCriteriaId\":\"941FCF7B-FFB6-4967-95C7-BB3D32C73DAF\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone8:*:*:*:*:*:*\",\"matchCriteriaId\":\"CE1A9030-B397-4BA6-8E13-DA1503872DDB\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:apache:tomcat:10.1.0:milestone9:*:*:*:*:*:*\",\"matchCriteriaId\":\"6284B74A-1051-40A7-9D74-380FEEEC3F88\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"07B237A9-69A3-4A9C-9DA0-4E06BD37AE73\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"FA6FEEC2-9F11-4643-8827-749718254FED\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:oracle:hospitality_cruise_shipboard_property_management_system:20.2.1:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"C29D8C0E-6317-4512-BEEC-42A0FE0D5B73\"}]}]}],\"references\":[{\"url\":\"http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html\",\"source\":\"security@apache.org\"},{\"url\":\"https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv\",\"source\":\"security@apache.org\",\"tags\":[\"Mailing List\",\"Mitigation\",\"Vendor Advisory\"]},{\"url\":\"https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html\",\"source\":\"security@apache.org\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://security.netapp.com/advisory/ntap-20220629-0002/\",\"source\":\"security@apache.org\",\"tags\":[\"Third Party Advisory\"]},{\"url\":\"https://www.debian.org/security/2022/dsa-5265\",\"source\":\"security@apache.org\",\"tags\":[\"Third Party Advisory\"]},{\"url\":\"https://www.oracle.com/security-alerts/cpujul2022.html\",\"source\":\"security@apache.org\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\"},{\"url\":\"https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Mailing List\",\"Mitigation\",\"Vendor Advisory\"]},{\"url\":\"https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://security.netapp.com/advisory/ntap-20220629-0002/\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Third Party Advisory\"]},{\"url\":\"https://www.debian.org/security/2022/dsa-5265\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Third Party Advisory\"]},{\"url\":\"https://www.oracle.com/security-alerts/cpujul2022.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Third Party Advisory\"]}]}}", }, }
ghsa-r84p-88g2-2vx2
Vulnerability from github
Published
2022-05-13 00:01
Modified
2024-03-11 18:49
Severity ?
Summary
Apache Tomcat EncryptInterceptor error leads to Uncontrolled Resource Consumption
Details
The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.
{ affected: [ { package: { ecosystem: "Maven", name: "org.apache.tomcat:tomcat", }, ranges: [ { events: [ { introduced: "10.1.0-M1", }, { fixed: "10.1.0-M15", }, ], type: "ECOSYSTEM", }, ], }, { package: { ecosystem: "Maven", name: "org.apache.tomcat:tomcat", }, ranges: [ { events: [ { introduced: "10.0.0-M1", }, { fixed: "10.0.21", }, ], type: "ECOSYSTEM", }, ], }, { package: { ecosystem: "Maven", name: "org.apache.tomcat:tomcat", }, ranges: [ { events: [ { introduced: "9.0.13", }, { fixed: "9.0.63", }, ], type: "ECOSYSTEM", }, ], }, { package: { ecosystem: "Maven", name: "org.apache.tomcat:tomcat", }, ranges: [ { events: [ { introduced: "8.5.38", }, { fixed: "8.5.79", }, ], type: "ECOSYSTEM", }, ], }, ], aliases: [ "CVE-2022-29885", ], database_specific: { cwe_ids: [ "CWE-400", ], github_reviewed: true, github_reviewed_at: "2024-03-11T18:49:58Z", nvd_published_at: "2022-05-12T08:15:00Z", severity: "HIGH", }, details: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", id: "GHSA-r84p-88g2-2vx2", modified: "2024-03-11T18:49:58Z", published: "2022-05-13T00:01:12Z", references: [ { type: "ADVISORY", url: "https://nvd.nist.gov/vuln/detail/CVE-2022-29885", }, { type: "WEB", url: "https://github.com/apache/tomcat/commit/0fa7721f11d565a2cd2e44366c388ad6a3e6357d", }, { type: "WEB", url: "https://github.com/apache/tomcat/commit/36826ea638457d7e17876a70f89cb435b6db0d91", }, { type: "WEB", url: "https://github.com/apache/tomcat/commit/b679bc627f5a4ea6510af95adfb7476b07eba890", }, { type: "WEB", url: "https://github.com/apache/tomcat/commit/eaafd28296c54d983e28a47953c1f5cb2c334f48", }, { type: "PACKAGE", url: "https://github.com/apache/tomcat", }, { type: "WEB", url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { type: "WEB", url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { type: "WEB", url: "https://security.netapp.com/advisory/ntap-20220629-0002", }, { type: "WEB", url: "https://www.debian.org/security/2022/dsa-5265", }, { type: "WEB", url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, ], schema_version: "1.4.0", severity: [ { score: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", type: "CVSS_V3", }, ], summary: "Apache Tomcat EncryptInterceptor error leads to Uncontrolled Resource Consumption", }
wid-sec-w-2022-0467
Vulnerability from csaf_certbund
Published
2022-05-11 22:00
Modified
2024-08-01 22:00
Summary
Apache Tomcat: Schwachstelle ermöglicht Denial of Service
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Apache Tomcat ist ein Web-Applikationsserver für verschiedene Plattformen.
Angriff
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache Tomcat ausnutzen, um einen Denial of Service Angriff durchzuführen.
Betroffene Betriebssysteme
- Linux
- Sonstiges
- UNIX
- Windows
{ document: { aggregate_severity: { text: "kritisch", }, category: "csaf_base", csaf_version: "2.0", distribution: { tlp: { label: "WHITE", url: "https://www.first.org/tlp/", }, }, lang: "de-DE", notes: [ { category: "legal_disclaimer", text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.", }, { category: "description", text: "Apache Tomcat ist ein Web-Applikationsserver für verschiedene Plattformen.", title: "Produktbeschreibung", }, { category: "summary", text: "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache Tomcat ausnutzen, um einen Denial of Service Angriff durchzuführen.", title: "Angriff", }, { category: "general", text: "- Linux\n- Sonstiges\n- UNIX\n- Windows", title: "Betroffene Betriebssysteme", }, ], publisher: { category: "other", contact_details: "csaf-provider@cert-bund.de", name: "Bundesamt für Sicherheit in der Informationstechnik", namespace: "https://www.bsi.bund.de", }, references: [ { category: "self", summary: "WID-SEC-W-2022-0467 - CSAF Version", url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-0467.json", }, { category: "self", summary: "WID-SEC-2022-0467 - Portal Version", url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0467", }, { category: "external", summary: "Apache Tomcat Mailing List vom 2022-05-11", url: "https://lists.apache.org/thread/548bnqoxvp0rqqq2yyj90l0xvwhq087d", }, { category: "external", summary: "AVAYA Security Advisory ASA-2022-075 vom 2022-06-24", url: "https://downloads.avaya.com/css/P8/documents/101082390", }, { category: "external", summary: "Amazon Linux Security Advisory ALAS-2022-1627 vom 2022-08-05", url: "https://alas.aws.amazon.com/ALAS-2022-1627.html", }, { category: "external", summary: "Oracle Solaris Third Party Bulletin-October 2022 vom 2022-10-18", url: "https://www.oracle.com/security-alerts/bulletinoct2022.html", }, { category: "external", summary: "IBM Security Bulletin 6831855 vom 2022-10-26", url: "https://www.ibm.com/blogs/psirt/security-bulletin-ibm-qradar-siem-is-vulnerable-to-using-components-with-known-vulnerabilities-14/", }, { category: "external", summary: "Debian Security Advisory DLA-3160 vom 2022-10-26", url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { category: "external", summary: "Debian Security Advisory DSA-5265 vom 2022-10-30", url: "https://lists.debian.org/debian-security-announce/2022/msg00235.html", }, { category: "external", summary: "Exploit-DB #51262 vom 2023-04-05", url: "https://www.exploit-db.com/exploits/51262", }, { category: "external", summary: "Amazon Linux Security Advisory ALASTOMCAT8.5-2023-005 vom 2023-09-27", url: "https://alas.aws.amazon.com/AL2/ALASTOMCAT8.5-2023-005.html", }, { category: "external", summary: "IBM Security Bulletin 7144861 vom 2024-03-20", url: "https://www.ibm.com/support/pages/node/7144861", }, { category: "external", summary: "Ubuntu Security Notice USN-6943-1 vom 2024-08-01", url: "https://ubuntu.com/security/notices/USN-6943-1", }, ], source_lang: "en-US", title: "Apache Tomcat: Schwachstelle ermöglicht Denial of Service", tracking: { current_release_date: "2024-08-01T22:00:00.000+00:00", generator: { date: "2024-08-15T17:29:21.100+00:00", engine: { name: "BSI-WID", version: "1.3.5", }, }, id: "WID-SEC-W-2022-0467", initial_release_date: "2022-05-11T22:00:00.000+00:00", revision_history: [ { date: "2022-05-11T22:00:00.000+00:00", number: "1", summary: "Initiale Fassung", }, { date: "2022-06-26T22:00:00.000+00:00", number: "2", summary: "Neue Updates von AVAYA aufgenommen", }, { date: "2022-08-04T22:00:00.000+00:00", number: "3", summary: "Neue Updates von Amazon aufgenommen", }, { date: "2022-10-18T22:00:00.000+00:00", number: "4", summary: "Neue Updates aufgenommen", }, { date: "2022-10-25T22:00:00.000+00:00", number: "5", summary: "Neue Updates von IBM aufgenommen", }, { date: "2022-10-26T22:00:00.000+00:00", number: "6", summary: "Neue Updates von Debian aufgenommen", }, { date: "2022-10-30T23:00:00.000+00:00", number: "7", summary: "Neue Updates von Debian aufgenommen", }, { date: "2023-04-05T22:00:00.000+00:00", number: "8", summary: "Exploit aufgenommen", }, { date: "2023-09-27T22:00:00.000+00:00", number: "9", summary: "Neue Updates von Amazon aufgenommen", }, { date: "2024-03-20T23:00:00.000+00:00", number: "10", summary: "Neue Updates von IBM aufgenommen", }, { date: "2024-08-01T22:00:00.000+00:00", number: "11", summary: "Neue Updates von Ubuntu aufgenommen", }, ], status: "final", version: "11", }, }, product_tree: { branches: [ { branches: [ { category: "product_name", name: "Amazon Linux 2", product: { name: "Amazon Linux 2", product_id: "398363", product_identification_helper: { cpe: "cpe:/o:amazon:linux_2:-", }, }, }, ], category: "vendor", name: "Amazon", }, { branches: [ { branches: [ { category: "product_version_range", name: "<10.0.21", product: { name: "Apache Tomcat <10.0.21", product_id: "T023187", }, }, { category: "product_version_range", name: "<9.0.63", product: { name: "Apache Tomcat <9.0.63", product_id: "T023188", }, }, { category: "product_version_range", name: "<8.5.79", product: { name: "Apache Tomcat <8.5.79", product_id: "T023189", }, }, ], category: "product_name", name: "Tomcat", }, ], category: "vendor", name: "Apache", }, { branches: [ { category: "product_name", name: "Avaya Aura Application Enablement Services", product: { name: "Avaya Aura Application Enablement Services", product_id: "T015516", product_identification_helper: { cpe: "cpe:/a:avaya:aura_application_enablement_services:-", }, }, }, { category: "product_name", name: "Avaya Aura Experience Portal", product: { name: "Avaya Aura Experience Portal", product_id: "T015519", product_identification_helper: { cpe: "cpe:/a:avaya:aura_experience_portal:-", }, }, }, { category: "product_name", name: "Avaya one-X", product: { name: "Avaya one-X", product_id: "1024", product_identification_helper: { cpe: "cpe:/a:avaya:one-x:-", }, }, }, ], category: "vendor", name: "Avaya", }, { branches: [ { category: "product_name", name: "Debian Linux", product: { name: "Debian Linux", product_id: "2951", product_identification_helper: { cpe: "cpe:/o:debian:debian_linux:-", }, }, }, ], category: "vendor", name: "Debian", }, { branches: [ { branches: [ { category: "product_version", name: "7.5", product: { name: "IBM QRadar SIEM 7.5", product_id: "T022954", product_identification_helper: { cpe: "cpe:/a:ibm:qradar_siem:7.5", }, }, }, { category: "product_version", name: "7.4", product: { name: "IBM QRadar SIEM 7.4", product_id: "T024775", product_identification_helper: { cpe: "cpe:/a:ibm:qradar_siem:7.4", }, }, }, ], category: "product_name", name: "QRadar SIEM", }, { branches: [ { category: "product_version", name: "Plus 10.1", product: { name: "IBM Spectrum Protect Plus 10.1", product_id: "T015895", product_identification_helper: { cpe: "cpe:/a:ibm:spectrum_protect:plus_10.1", }, }, }, ], category: "product_name", name: "Spectrum Protect", }, ], category: "vendor", name: "IBM", }, { branches: [ { category: "product_name", name: "Oracle Solaris", product: { name: "Oracle Solaris", product_id: "T002965", product_identification_helper: { cpe: "cpe:/a:oracle:solaris:-", }, }, }, ], category: "vendor", name: "Oracle", }, { branches: [ { category: "product_name", name: "Ubuntu Linux", product: { name: "Ubuntu Linux", product_id: "T000126", product_identification_helper: { cpe: "cpe:/o:canonical:ubuntu_linux:-", }, }, }, ], category: "vendor", name: "Ubuntu", }, ], }, vulnerabilities: [ { cve: "CVE-2022-29885", notes: [ { category: "description", text: "Es existiert eine nicht näher beschriebene Schwachstelle in Apache Tomcat in der Komponente \"EncryptInterceptor\", wenn \"Tomcat Clustering\" verwendet wird. Ein Angreifer kann dies für einen Denial of Service Angriff ausnutzen.", }, ], product_status: { known_affected: [ "T022954", "T015519", "2951", "T015516", "1024", "T000126", "T002965", "398363", "T024775", "T015895", ], }, release_date: "2022-05-11T22:00:00.000+00:00", title: "CVE-2022-29885", }, ], }
WID-SEC-W-2024-1238
Vulnerability from csaf_certbund
Published
2024-05-27 22:00
Modified
2024-05-27 22:00
Summary
HPE HP-UX: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
HP-UX ist ein Unix Betriebssystem von HP.
Angriff
Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in HPE HP-UX Tomcat Servlet Engine ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren.
Betroffene Betriebssysteme
- Sonstiges
{ document: { aggregate_severity: { text: "hoch", }, category: "csaf_base", csaf_version: "2.0", distribution: { tlp: { label: "WHITE", url: "https://www.first.org/tlp/", }, }, lang: "de-DE", notes: [ { category: "legal_disclaimer", text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.", }, { category: "description", text: "HP-UX ist ein Unix Betriebssystem von HP.", title: "Produktbeschreibung", }, { category: "summary", text: "Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in HPE HP-UX Tomcat Servlet Engine ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren.", title: "Angriff", }, { category: "general", text: "- Sonstiges", title: "Betroffene Betriebssysteme", }, ], publisher: { category: "other", contact_details: "csaf-provider@cert-bund.de", name: "Bundesamt für Sicherheit in der Informationstechnik", namespace: "https://www.bsi.bund.de", }, references: [ { category: "self", summary: "WID-SEC-W-2024-1238 - CSAF Version", url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1238.json", }, { category: "self", summary: "WID-SEC-2024-1238 - Portal Version", url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1238", }, { category: "external", summary: "HPE Security Bulletin HPESBUX04652 rev.1 vom 2024-05-27", url: "https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbux04652en_us&docLocale=en_US", }, ], source_lang: "en-US", title: "HPE HP-UX: Mehrere Schwachstellen", tracking: { current_release_date: "2024-05-27T22:00:00.000+00:00", generator: { date: "2024-08-15T18:09:34.846+00:00", engine: { name: "BSI-WID", version: "1.3.5", }, }, id: "WID-SEC-W-2024-1238", initial_release_date: "2024-05-27T22:00:00.000+00:00", revision_history: [ { date: "2024-05-27T22:00:00.000+00:00", number: "1", summary: "Initiale Fassung", }, ], status: "final", version: "1", }, }, product_tree: { branches: [ { branches: [ { branches: [ { category: "product_version_range", name: "Apache Tomcat 9 Servlet Engine <D.9.0.87.01", product: { name: "HPE HP-UX Apache Tomcat 9 Servlet Engine <D.9.0.87.01", product_id: "T035072", }, }, ], category: "product_name", name: "HP-UX", }, ], category: "vendor", name: "HPE", }, ], }, vulnerabilities: [ { cve: "CVE-2017-12616", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2017-12616", }, { cve: "CVE-2017-12617", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2017-12617", }, { cve: "CVE-2021-30639", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-30639", }, { cve: "CVE-2021-30640", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-30640", }, { cve: "CVE-2021-33037", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-33037", }, { cve: "CVE-2021-41079", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-41079", }, { cve: "CVE-2021-42340", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-42340", }, { cve: "CVE-2021-43980", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-43980", }, { cve: "CVE-2022-23181", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-23181", }, { cve: "CVE-2022-29885", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-29885", }, { cve: "CVE-2022-34305", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-34305", }, { cve: "CVE-2022-42252", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-42252", }, { cve: "CVE-2022-45143", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-45143", }, { cve: "CVE-2023-24998", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-24998", }, { cve: "CVE-2023-28708", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-28708", }, { cve: "CVE-2023-28709", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-28709", }, { cve: "CVE-2023-34981", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-34981", }, { cve: "CVE-2023-41080", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-41080", }, { cve: "CVE-2023-42794", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-42794", }, { cve: "CVE-2023-42795", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-42795", }, { cve: "CVE-2023-44487", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-44487", }, { cve: "CVE-2023-45648", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-45648", }, { cve: "CVE-2023-46589", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-46589", }, { cve: "CVE-2024-23672", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2024-23672", }, { cve: "CVE-2024-24549", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2024-24549", }, ], }
WID-SEC-W-2022-0467
Vulnerability from csaf_certbund
Published
2022-05-11 22:00
Modified
2024-08-01 22:00
Summary
Apache Tomcat: Schwachstelle ermöglicht Denial of Service
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Apache Tomcat ist ein Web-Applikationsserver für verschiedene Plattformen.
Angriff
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache Tomcat ausnutzen, um einen Denial of Service Angriff durchzuführen.
Betroffene Betriebssysteme
- Linux
- Sonstiges
- UNIX
- Windows
{ document: { aggregate_severity: { text: "kritisch", }, category: "csaf_base", csaf_version: "2.0", distribution: { tlp: { label: "WHITE", url: "https://www.first.org/tlp/", }, }, lang: "de-DE", notes: [ { category: "legal_disclaimer", text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.", }, { category: "description", text: "Apache Tomcat ist ein Web-Applikationsserver für verschiedene Plattformen.", title: "Produktbeschreibung", }, { category: "summary", text: "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Apache Tomcat ausnutzen, um einen Denial of Service Angriff durchzuführen.", title: "Angriff", }, { category: "general", text: "- Linux\n- Sonstiges\n- UNIX\n- Windows", title: "Betroffene Betriebssysteme", }, ], publisher: { category: "other", contact_details: "csaf-provider@cert-bund.de", name: "Bundesamt für Sicherheit in der Informationstechnik", namespace: "https://www.bsi.bund.de", }, references: [ { category: "self", summary: "WID-SEC-W-2022-0467 - CSAF Version", url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-0467.json", }, { category: "self", summary: "WID-SEC-2022-0467 - Portal Version", url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0467", }, { category: "external", summary: "Apache Tomcat Mailing List vom 2022-05-11", url: "https://lists.apache.org/thread/548bnqoxvp0rqqq2yyj90l0xvwhq087d", }, { category: "external", summary: "AVAYA Security Advisory ASA-2022-075 vom 2022-06-24", url: "https://downloads.avaya.com/css/P8/documents/101082390", }, { category: "external", summary: "Amazon Linux Security Advisory ALAS-2022-1627 vom 2022-08-05", url: "https://alas.aws.amazon.com/ALAS-2022-1627.html", }, { category: "external", summary: "Oracle Solaris Third Party Bulletin-October 2022 vom 2022-10-18", url: "https://www.oracle.com/security-alerts/bulletinoct2022.html", }, { category: "external", summary: "IBM Security Bulletin 6831855 vom 2022-10-26", url: "https://www.ibm.com/blogs/psirt/security-bulletin-ibm-qradar-siem-is-vulnerable-to-using-components-with-known-vulnerabilities-14/", }, { category: "external", summary: "Debian Security Advisory DLA-3160 vom 2022-10-26", url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { category: "external", summary: "Debian Security Advisory DSA-5265 vom 2022-10-30", url: "https://lists.debian.org/debian-security-announce/2022/msg00235.html", }, { category: "external", summary: "Exploit-DB #51262 vom 2023-04-05", url: "https://www.exploit-db.com/exploits/51262", }, { category: "external", summary: "Amazon Linux Security Advisory ALASTOMCAT8.5-2023-005 vom 2023-09-27", url: "https://alas.aws.amazon.com/AL2/ALASTOMCAT8.5-2023-005.html", }, { category: "external", summary: "IBM Security Bulletin 7144861 vom 2024-03-20", url: "https://www.ibm.com/support/pages/node/7144861", }, { category: "external", summary: "Ubuntu Security Notice USN-6943-1 vom 2024-08-01", url: "https://ubuntu.com/security/notices/USN-6943-1", }, ], source_lang: "en-US", title: "Apache Tomcat: Schwachstelle ermöglicht Denial of Service", tracking: { current_release_date: "2024-08-01T22:00:00.000+00:00", generator: { date: "2024-08-15T17:29:21.100+00:00", engine: { name: "BSI-WID", version: "1.3.5", }, }, id: "WID-SEC-W-2022-0467", initial_release_date: "2022-05-11T22:00:00.000+00:00", revision_history: [ { date: "2022-05-11T22:00:00.000+00:00", number: "1", summary: "Initiale Fassung", }, { date: "2022-06-26T22:00:00.000+00:00", number: "2", summary: "Neue Updates von AVAYA aufgenommen", }, { date: "2022-08-04T22:00:00.000+00:00", number: "3", summary: "Neue Updates von Amazon aufgenommen", }, { date: "2022-10-18T22:00:00.000+00:00", number: "4", summary: "Neue Updates aufgenommen", }, { date: "2022-10-25T22:00:00.000+00:00", number: "5", summary: "Neue Updates von IBM aufgenommen", }, { date: "2022-10-26T22:00:00.000+00:00", number: "6", summary: "Neue Updates von Debian aufgenommen", }, { date: "2022-10-30T23:00:00.000+00:00", number: "7", summary: "Neue Updates von Debian aufgenommen", }, { date: "2023-04-05T22:00:00.000+00:00", number: "8", summary: "Exploit aufgenommen", }, { date: "2023-09-27T22:00:00.000+00:00", number: "9", summary: "Neue Updates von Amazon aufgenommen", }, { date: "2024-03-20T23:00:00.000+00:00", number: "10", summary: "Neue Updates von IBM aufgenommen", }, { date: "2024-08-01T22:00:00.000+00:00", number: "11", summary: "Neue Updates von Ubuntu aufgenommen", }, ], status: "final", version: "11", }, }, product_tree: { branches: [ { branches: [ { category: "product_name", name: "Amazon Linux 2", product: { name: "Amazon Linux 2", product_id: "398363", product_identification_helper: { cpe: "cpe:/o:amazon:linux_2:-", }, }, }, ], category: "vendor", name: "Amazon", }, { branches: [ { branches: [ { category: "product_version_range", name: "<10.0.21", product: { name: "Apache Tomcat <10.0.21", product_id: "T023187", }, }, { category: "product_version_range", name: "<9.0.63", product: { name: "Apache Tomcat <9.0.63", product_id: "T023188", }, }, { category: "product_version_range", name: "<8.5.79", product: { name: "Apache Tomcat <8.5.79", product_id: "T023189", }, }, ], category: "product_name", name: "Tomcat", }, ], category: "vendor", name: "Apache", }, { branches: [ { category: "product_name", name: "Avaya Aura Application Enablement Services", product: { name: "Avaya Aura Application Enablement Services", product_id: "T015516", product_identification_helper: { cpe: "cpe:/a:avaya:aura_application_enablement_services:-", }, }, }, { category: "product_name", name: "Avaya Aura Experience Portal", product: { name: "Avaya Aura Experience Portal", product_id: "T015519", product_identification_helper: { cpe: "cpe:/a:avaya:aura_experience_portal:-", }, }, }, { category: "product_name", name: "Avaya one-X", product: { name: "Avaya one-X", product_id: "1024", product_identification_helper: { cpe: "cpe:/a:avaya:one-x:-", }, }, }, ], category: "vendor", name: "Avaya", }, { branches: [ { category: "product_name", name: "Debian Linux", product: { name: "Debian Linux", product_id: "2951", product_identification_helper: { cpe: "cpe:/o:debian:debian_linux:-", }, }, }, ], category: "vendor", name: "Debian", }, { branches: [ { branches: [ { category: "product_version", name: "7.5", product: { name: "IBM QRadar SIEM 7.5", product_id: "T022954", product_identification_helper: { cpe: "cpe:/a:ibm:qradar_siem:7.5", }, }, }, { category: "product_version", name: "7.4", product: { name: "IBM QRadar SIEM 7.4", product_id: "T024775", product_identification_helper: { cpe: "cpe:/a:ibm:qradar_siem:7.4", }, }, }, ], category: "product_name", name: "QRadar SIEM", }, { branches: [ { category: "product_version", name: "Plus 10.1", product: { name: "IBM Spectrum Protect Plus 10.1", product_id: "T015895", product_identification_helper: { cpe: "cpe:/a:ibm:spectrum_protect:plus_10.1", }, }, }, ], category: "product_name", name: "Spectrum Protect", }, ], category: "vendor", name: "IBM", }, { branches: [ { category: "product_name", name: "Oracle Solaris", product: { name: "Oracle Solaris", product_id: "T002965", product_identification_helper: { cpe: "cpe:/a:oracle:solaris:-", }, }, }, ], category: "vendor", name: "Oracle", }, { branches: [ { category: "product_name", name: "Ubuntu Linux", product: { name: "Ubuntu Linux", product_id: "T000126", product_identification_helper: { cpe: "cpe:/o:canonical:ubuntu_linux:-", }, }, }, ], category: "vendor", name: "Ubuntu", }, ], }, vulnerabilities: [ { cve: "CVE-2022-29885", notes: [ { category: "description", text: "Es existiert eine nicht näher beschriebene Schwachstelle in Apache Tomcat in der Komponente \"EncryptInterceptor\", wenn \"Tomcat Clustering\" verwendet wird. Ein Angreifer kann dies für einen Denial of Service Angriff ausnutzen.", }, ], product_status: { known_affected: [ "T022954", "T015519", "2951", "T015516", "1024", "T000126", "T002965", "398363", "T024775", "T015895", ], }, release_date: "2022-05-11T22:00:00.000+00:00", title: "CVE-2022-29885", }, ], }
wid-sec-w-2024-1238
Vulnerability from csaf_certbund
Published
2024-05-27 22:00
Modified
2024-05-27 22:00
Summary
HPE HP-UX: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
HP-UX ist ein Unix Betriebssystem von HP.
Angriff
Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in HPE HP-UX Tomcat Servlet Engine ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren.
Betroffene Betriebssysteme
- Sonstiges
{ document: { aggregate_severity: { text: "hoch", }, category: "csaf_base", csaf_version: "2.0", distribution: { tlp: { label: "WHITE", url: "https://www.first.org/tlp/", }, }, lang: "de-DE", notes: [ { category: "legal_disclaimer", text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.", }, { category: "description", text: "HP-UX ist ein Unix Betriebssystem von HP.", title: "Produktbeschreibung", }, { category: "summary", text: "Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in HPE HP-UX Tomcat Servlet Engine ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren.", title: "Angriff", }, { category: "general", text: "- Sonstiges", title: "Betroffene Betriebssysteme", }, ], publisher: { category: "other", contact_details: "csaf-provider@cert-bund.de", name: "Bundesamt für Sicherheit in der Informationstechnik", namespace: "https://www.bsi.bund.de", }, references: [ { category: "self", summary: "WID-SEC-W-2024-1238 - CSAF Version", url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1238.json", }, { category: "self", summary: "WID-SEC-2024-1238 - Portal Version", url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1238", }, { category: "external", summary: "HPE Security Bulletin HPESBUX04652 rev.1 vom 2024-05-27", url: "https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbux04652en_us&docLocale=en_US", }, ], source_lang: "en-US", title: "HPE HP-UX: Mehrere Schwachstellen", tracking: { current_release_date: "2024-05-27T22:00:00.000+00:00", generator: { date: "2024-08-15T18:09:34.846+00:00", engine: { name: "BSI-WID", version: "1.3.5", }, }, id: "WID-SEC-W-2024-1238", initial_release_date: "2024-05-27T22:00:00.000+00:00", revision_history: [ { date: "2024-05-27T22:00:00.000+00:00", number: "1", summary: "Initiale Fassung", }, ], status: "final", version: "1", }, }, product_tree: { branches: [ { branches: [ { branches: [ { category: "product_version_range", name: "Apache Tomcat 9 Servlet Engine <D.9.0.87.01", product: { name: "HPE HP-UX Apache Tomcat 9 Servlet Engine <D.9.0.87.01", product_id: "T035072", }, }, ], category: "product_name", name: "HP-UX", }, ], category: "vendor", name: "HPE", }, ], }, vulnerabilities: [ { cve: "CVE-2017-12616", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2017-12616", }, { cve: "CVE-2017-12617", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2017-12617", }, { cve: "CVE-2021-30639", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-30639", }, { cve: "CVE-2021-30640", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-30640", }, { cve: "CVE-2021-33037", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-33037", }, { cve: "CVE-2021-41079", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-41079", }, { cve: "CVE-2021-42340", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-42340", }, { cve: "CVE-2021-43980", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2021-43980", }, { cve: "CVE-2022-23181", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-23181", }, { cve: "CVE-2022-29885", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-29885", }, { cve: "CVE-2022-34305", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-34305", }, { cve: "CVE-2022-42252", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-42252", }, { cve: "CVE-2022-45143", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2022-45143", }, { cve: "CVE-2023-24998", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-24998", }, { cve: "CVE-2023-28708", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-28708", }, { cve: "CVE-2023-28709", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-28709", }, { cve: "CVE-2023-34981", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-34981", }, { cve: "CVE-2023-41080", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-41080", }, { cve: "CVE-2023-42794", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-42794", }, { cve: "CVE-2023-42795", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-42795", }, { cve: "CVE-2023-44487", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-44487", }, { cve: "CVE-2023-45648", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-45648", }, { cve: "CVE-2023-46589", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2023-46589", }, { cve: "CVE-2024-23672", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2024-23672", }, { cve: "CVE-2024-24549", notes: [ { category: "description", text: "Es bestehen mehrere Schwachstellen in HPE HP-UX in der Tomcat-basierten Servlet-Engine. Ein anonymer oder lokaler Angreifer kann diese ausnutzen, um Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen, vertrauliche Informationen offenzulegen oder Dateien zu manipulieren. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.", }, ], release_date: "2024-05-27T22:00:00.000+00:00", title: "CVE-2024-24549", }, ], }
gsd-2022-29885
Vulnerability from gsd
Modified
2023-12-13 01:19
Details
The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.
Aliases
Aliases
{ GSD: { alias: "CVE-2022-29885", description: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", id: "GSD-2022-29885", references: [ "https://www.suse.com/security/cve/CVE-2022-29885.html", "https://alas.aws.amazon.com/cve/html/CVE-2022-29885.html", "https://www.debian.org/security/2022/dsa-5265", ], }, gsd: { metadata: { exploitCode: "unknown", remediation: "unknown", reportConfidence: "confirmed", type: "vulnerability", }, osvSchema: { aliases: [ "CVE-2022-29885", ], details: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", id: "GSD-2022-29885", modified: "2023-12-13T01:19:41.775479Z", schema_version: "1.4.0", }, }, namespaces: { "cve.org": { CVE_data_meta: { ASSIGNER: "security@apache.org", ID: "CVE-2022-29885", STATE: "PUBLIC", TITLE: "EncryptInterceptor does not provide complete protection on insecure networks", }, affects: { vendor: { vendor_data: [ { product: { product_data: [ { product_name: "Apache Tomcat", version: { version_data: [ { version_affected: "=", version_name: "Apache Tomcat 10.1", version_value: "10.1.0-M1 to 10.1.0-M14", }, { version_affected: "=", version_name: "Apache Tomcat 10", version_value: "10.0.0-M1 to 10.0.20", }, { version_affected: "=", version_name: "Apache Tomcat 9", version_value: "9.0.13 to 9.0.62", }, { version_affected: "=", version_name: "Apache Tomcat 8.5", version_value: "8.5.38 to 8.5.78 ", }, ], }, }, ], }, vendor_name: "Apache Software Foundation", }, ], }, }, credit: [ { lang: "eng", value: "This issue was reported to the Apache Tomcat Security team by 4ra1n.", }, ], data_format: "MITRE", data_type: "CVE", data_version: "4.0", description: { description_data: [ { lang: "eng", value: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", }, ], }, generator: { engine: "Vulnogram 0.0.9", }, impact: [ { other: "low", }, ], problemtype: { problemtype_data: [ { description: [ { lang: "eng", value: "CWE-400 Uncontrolled Resource Consumption", }, ], }, ], }, references: { reference_data: [ { name: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", refsource: "MISC", url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { name: "https://www.oracle.com/security-alerts/cpujul2022.html", refsource: "MISC", url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, { name: "https://security.netapp.com/advisory/ntap-20220629-0002/", refsource: "CONFIRM", url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { name: "[debian-lts-announce] 20221026 [SECURITY] [DLA 3160-1] tomcat9 security update", refsource: "MLIST", url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { name: "DSA-5265", refsource: "DEBIAN", url: "https://www.debian.org/security/2022/dsa-5265", }, { name: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", refsource: "MISC", url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, ], }, source: { discovery: "UNKNOWN", }, }, "gitlab.com": { advisories: [ { affected_range: "[8.5.38,8.5.78],[9.0.13,9.0.62],[10.0.0,10.0.20],[10.1.0]", affected_versions: "All versions starting from 8.5.38 up to 8.5.78, all versions starting from 9.0.13 up to 9.0.62, all versions starting from 10.0.0 up to 10.0.20, version 10.1.0", cvss_v2: "AV:N/AC:L/Au:N/C:N/I:N/A:P", cvss_v3: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", cwe_ids: [ "CWE-1035", "CWE-400", "CWE-937", ], date: "2023-04-06", description: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", fixed_versions: [ "8.5.79", "9.0.63", "10.0.21", "10.1.1", ], identifier: "CVE-2022-29885", identifiers: [ "CVE-2022-29885", ], not_impacted: "All versions before 8.5.38, all versions after 8.5.78 before 9.0.13, all versions after 9.0.62 before 10.0.0, all versions after 10.0.20 before 10.1.0, all versions after 10.1.0", package_slug: "maven/org.apache.tomcat.embed/tomcat-embed-core", pubdate: "2022-05-12", solution: "Upgrade to versions 8.5.79, 9.0.63, 10.0.21, 10.1.1 or above.", title: "Uncontrolled Resource Consumption", urls: [ "https://nvd.nist.gov/vuln/detail/CVE-2022-29885", "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", ], uuid: "3d0ac26a-87f1-4ae3-b836-b8841f64fd58", }, { affected_range: "[8.5.38,8.5.78],[9.0.13,9.0.62],[10.0.0,10.0.20],[10.1.0]", affected_versions: "All versions starting from 8.5.38 up to 8.5.78, all versions starting from 9.0.13 up to 9.0.62, all versions starting from 10.0.0 up to 10.0.20, version 10.1.0", cvss_v2: "AV:N/AC:L/Au:N/C:N/I:N/A:P", cvss_v3: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", cwe_ids: [ "CWE-1035", "CWE-400", "CWE-937", ], date: "2023-04-06", description: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", fixed_versions: [], identifier: "CVE-2022-29885", identifiers: [ "CVE-2022-29885", ], not_impacted: "", package_slug: "maven/org.apache.tomcat/coyote", pubdate: "2022-05-12", solution: "Unfortunately, there is no solution available yet.", title: "Uncontrolled Resource Consumption", urls: [ "https://nvd.nist.gov/vuln/detail/CVE-2022-29885", "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", ], uuid: "684f4c2b-adc8-4c06-984b-7b479e054139", }, { affected_range: "[8.5.38,8.5.78],[9.0.13,9.0.62],[10.0.0,10.0.20],[10.1.0]", affected_versions: "All versions starting from 8.5.38 up to 8.5.78, all versions starting from 9.0.13 up to 9.0.62, all versions starting from 10.0.0 up to 10.0.20, version 10.1.0", cvss_v2: "AV:N/AC:L/Au:N/C:N/I:N/A:P", cvss_v3: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", cwe_ids: [ "CWE-1035", "CWE-400", "CWE-937", ], date: "2023-04-06", description: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", fixed_versions: [ "8.5.79", "9.0.63", "10.0.21", "10.1.1", ], identifier: "CVE-2022-29885", identifiers: [ "CVE-2022-29885", ], not_impacted: "All versions before 8.5.38, all versions after 8.5.78 before 9.0.13, all versions after 9.0.62 before 10.0.0, all versions after 10.0.20 before 10.1.0, all versions after 10.1.0", package_slug: "maven/org.apache.tomcat/tomcat", pubdate: "2022-05-12", solution: "Upgrade to versions 8.5.79, 9.0.63, 10.0.21, 10.1.1 or above.", title: "Uncontrolled Resource Consumption", urls: [ "https://nvd.nist.gov/vuln/detail/CVE-2022-29885", "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", ], uuid: "84a52e1f-8e7a-4054-bf18-624843b02c51", }, ], }, "nvd.nist.gov": { configurations: { CVE_data_version: "4.0", nodes: [ { children: [], cpe_match: [ { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone3:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone4:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone5:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone1:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone2:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone7:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone8:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone9:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone6:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone10:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone11:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone12:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone13:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:10.1.0:milestone14:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", cpe_name: [], versionEndIncluding: "10.0.20", versionStartIncluding: "10.0.0", vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", cpe_name: [], versionEndIncluding: "9.0.62", versionStartIncluding: "9.0.13", vulnerable: true, }, { cpe23Uri: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", cpe_name: [], versionEndIncluding: "8.5.78", versionStartIncluding: "8.5.38", vulnerable: true, }, ], operator: "OR", }, { children: [], cpe_match: [ { cpe23Uri: "cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, { cpe23Uri: "cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, ], operator: "OR", }, { children: [], cpe_match: [ { cpe23Uri: "cpe:2.3:a:oracle:hospitality_cruise_shipboard_property_management_system:20.2.1:*:*:*:*:*:*:*", cpe_name: [], vulnerable: true, }, ], operator: "OR", }, ], }, cve: { CVE_data_meta: { ASSIGNER: "security@apache.org", ID: "CVE-2022-29885", }, data_format: "MITRE", data_type: "CVE", data_version: "4.0", description: { description_data: [ { lang: "en", value: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", }, ], }, problemtype: { problemtype_data: [ { description: [ { lang: "en", value: "CWE-400", }, ], }, ], }, references: { reference_data: [ { name: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", refsource: "MISC", tags: [ "Mailing List", "Mitigation", "Vendor Advisory", ], url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { name: "https://security.netapp.com/advisory/ntap-20220629-0002/", refsource: "CONFIRM", tags: [ "Third Party Advisory", ], url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { name: "N/A", refsource: "N/A", tags: [ "Patch", "Third Party Advisory", ], url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, { name: "[debian-lts-announce] 20221026 [SECURITY] [DLA 3160-1] tomcat9 security update", refsource: "MLIST", tags: [ "Mailing List", "Third Party Advisory", ], url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { name: "DSA-5265", refsource: "DEBIAN", tags: [ "Third Party Advisory", ], url: "https://www.debian.org/security/2022/dsa-5265", }, { name: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", refsource: "MISC", tags: [], url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, ], }, }, impact: { baseMetricV2: { acInsufInfo: false, cvssV2: { accessComplexity: "LOW", accessVector: "NETWORK", authentication: "NONE", availabilityImpact: "PARTIAL", baseScore: 5, confidentialityImpact: "NONE", integrityImpact: "NONE", vectorString: "AV:N/AC:L/Au:N/C:N/I:N/A:P", version: "2.0", }, exploitabilityScore: 10, impactScore: 2.9, obtainAllPrivilege: false, obtainOtherPrivilege: false, obtainUserPrivilege: false, severity: "MEDIUM", userInteractionRequired: false, }, baseMetricV3: { cvssV3: { attackComplexity: "LOW", attackVector: "NETWORK", availabilityImpact: "HIGH", baseScore: 7.5, baseSeverity: "HIGH", confidentialityImpact: "NONE", integrityImpact: "NONE", privilegesRequired: "NONE", scope: "UNCHANGED", userInteraction: "NONE", vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", version: "3.1", }, exploitabilityScore: 3.9, impactScore: 3.6, }, }, lastModifiedDate: "2023-04-06T17:15Z", publishedDate: "2022-05-12T08:15Z", }, }, }
fkie_cve-2022-29885
Vulnerability from fkie_nvd
Published
2022-05-12 08:15
Modified
2024-11-21 06:59
Severity ?
Summary
The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.
References
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| apache | tomcat | * | |
| apache | tomcat | * | |
| apache | tomcat | * | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| apache | tomcat | 10.1.0 | |
| debian | debian_linux | 10.0 | |
| debian | debian_linux | 11.0 | |
| oracle | hospitality_cruise_shipboard_property_management_system | 20.2.1 |
{ configurations: [ { nodes: [ { cpeMatch: [ { criteria: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", matchCriteriaId: "EF71095E-12F3-4461-BAE9-1EB65BA50916", versionEndIncluding: "8.5.78", versionStartIncluding: "8.5.38", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", matchCriteriaId: "F31172AB-31C6-4F32-B9CC-2F363A9DEF94", versionEndIncluding: "9.0.62", versionStartIncluding: "9.0.13", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*", matchCriteriaId: "BFC41BAB-1EA0-444F-AD16-4A341BD642E9", versionEndIncluding: "10.0.20", versionStartIncluding: "10.0.0", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone1:*:*:*:*:*:*", matchCriteriaId: "6D402B5D-5901-43EB-8E6A-ECBD512CE367", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone10:*:*:*:*:*:*", matchCriteriaId: "33C71AE1-B38E-4783-BAC2-3CDA7B4D9EBA", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone11:*:*:*:*:*:*", matchCriteriaId: "F6BD4180-D3E8-42AB-96B1-3869ECF47F6C", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone12:*:*:*:*:*:*", matchCriteriaId: "64668CCF-DBC9-442D-9E0F-FD40E1D0DDB7", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone13:*:*:*:*:*:*", matchCriteriaId: "FC64BB57-4912-481E-AE8D-C8FCD36142BB", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone14:*:*:*:*:*:*", matchCriteriaId: "49B43BFD-6B6C-4E6D-A9D8-308709DDFB44", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone2:*:*:*:*:*:*", matchCriteriaId: "9846609D-51FC-4CDD-97B3-8C6E07108F14", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone3:*:*:*:*:*:*", matchCriteriaId: "2E321FB4-0B0C-497A-BB75-909D888C93CB", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone4:*:*:*:*:*:*", matchCriteriaId: "3B0CAE57-AF7A-40E6-9519-F5C9F422C1BE", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone5:*:*:*:*:*:*", matchCriteriaId: "7CB9D150-EED6-4AE9-BCBE-48932E50035E", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone6:*:*:*:*:*:*", matchCriteriaId: "D334103F-F64E-4869-BCC8-670A5AFCC76C", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone7:*:*:*:*:*:*", matchCriteriaId: "941FCF7B-FFB6-4967-95C7-BB3D32C73DAF", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone8:*:*:*:*:*:*", matchCriteriaId: "CE1A9030-B397-4BA6-8E13-DA1503872DDB", vulnerable: true, }, { criteria: "cpe:2.3:a:apache:tomcat:10.1.0:milestone9:*:*:*:*:*:*", matchCriteriaId: "6284B74A-1051-40A7-9D74-380FEEEC3F88", vulnerable: true, }, ], negate: false, operator: "OR", }, ], }, { nodes: [ { cpeMatch: [ { criteria: "cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*", matchCriteriaId: "07B237A9-69A3-4A9C-9DA0-4E06BD37AE73", vulnerable: true, }, { criteria: "cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*", matchCriteriaId: "FA6FEEC2-9F11-4643-8827-749718254FED", vulnerable: true, }, ], negate: false, operator: "OR", }, ], }, { nodes: [ { cpeMatch: [ { criteria: "cpe:2.3:a:oracle:hospitality_cruise_shipboard_property_management_system:20.2.1:*:*:*:*:*:*:*", matchCriteriaId: "C29D8C0E-6317-4512-BEEC-42A0FE0D5B73", vulnerable: true, }, ], negate: false, operator: "OR", }, ], }, ], cveTags: [], descriptions: [ { lang: "en", value: "The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network. This was not correct. While the EncryptInterceptor does provide confidentiality and integrity protection, it does not protect against all risks associated with running over any untrusted network, particularly DoS risks.", }, { lang: "es", value: "La documentación de Apache Tomcat versiones 10.1.0-M1 a 10.1.0-M14, 10.0.0-M1 a 10.0.20, 9.0.13 a 9.0.62 y 8.5.38 a 8.5.78, para el EncryptInterceptor indicaba incorrectamente que permitía que el clustering de Tomcat fuera ejecutado sobre una red no confiable. Esto no es correcto. Mientras que el EncryptInterceptor proporciona confidencialidad y protección de la integridad, no protege contra todos los riesgos asociados con la ejecución de cualquier red no confiable, particularmente los riesgos de DoS", }, ], id: "CVE-2022-29885", lastModified: "2024-11-21T06:59:54.297", metrics: { cvssMetricV2: [ { acInsufInfo: false, baseSeverity: "MEDIUM", cvssData: { accessComplexity: "LOW", accessVector: "NETWORK", authentication: "NONE", availabilityImpact: "PARTIAL", baseScore: 5, confidentialityImpact: "NONE", integrityImpact: "NONE", vectorString: "AV:N/AC:L/Au:N/C:N/I:N/A:P", version: "2.0", }, exploitabilityScore: 10, impactScore: 2.9, obtainAllPrivilege: false, obtainOtherPrivilege: false, obtainUserPrivilege: false, source: "nvd@nist.gov", type: "Primary", userInteractionRequired: false, }, ], cvssMetricV31: [ { cvssData: { attackComplexity: "LOW", attackVector: "NETWORK", availabilityImpact: "HIGH", baseScore: 7.5, baseSeverity: "HIGH", confidentialityImpact: "NONE", integrityImpact: "NONE", privilegesRequired: "NONE", scope: "UNCHANGED", userInteraction: "NONE", vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H", version: "3.1", }, exploitabilityScore: 3.9, impactScore: 3.6, source: "nvd@nist.gov", type: "Primary", }, ], }, published: "2022-05-12T08:15:07.630", references: [ { source: "security@apache.org", url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, { source: "security@apache.org", tags: [ "Mailing List", "Mitigation", "Vendor Advisory", ], url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { source: "security@apache.org", tags: [ "Mailing List", "Third Party Advisory", ], url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { source: "security@apache.org", tags: [ "Third Party Advisory", ], url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { source: "security@apache.org", tags: [ "Third Party Advisory", ], url: "https://www.debian.org/security/2022/dsa-5265", }, { source: "security@apache.org", tags: [ "Patch", "Third Party Advisory", ], url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, { source: "af854a3a-2127-422b-91ae-364da2661108", url: "http://packetstormsecurity.com/files/171728/Apache-Tomcat-10.1-Denial-Of-Service.html", }, { source: "af854a3a-2127-422b-91ae-364da2661108", tags: [ "Mailing List", "Mitigation", "Vendor Advisory", ], url: "https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv", }, { source: "af854a3a-2127-422b-91ae-364da2661108", tags: [ "Mailing List", "Third Party Advisory", ], url: "https://lists.debian.org/debian-lts-announce/2022/10/msg00029.html", }, { source: "af854a3a-2127-422b-91ae-364da2661108", tags: [ "Third Party Advisory", ], url: "https://security.netapp.com/advisory/ntap-20220629-0002/", }, { source: "af854a3a-2127-422b-91ae-364da2661108", tags: [ "Third Party Advisory", ], url: "https://www.debian.org/security/2022/dsa-5265", }, { source: "af854a3a-2127-422b-91ae-364da2661108", tags: [ "Patch", "Third Party Advisory", ], url: "https://www.oracle.com/security-alerts/cpujul2022.html", }, ], sourceIdentifier: "security@apache.org", vulnStatus: "Modified", weaknesses: [ { description: [ { lang: "en", value: "CWE-400", }, ], source: "security@apache.org", type: "Primary", }, { description: [ { lang: "en", value: "NVD-CWE-noinfo", }, ], source: "nvd@nist.gov", type: "Secondary", }, ], }
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.