PT-2022-2876 · Apache+5 · Apache Tomcat+5
Publicado
2022-04-28
·
Atualizado
2026-05-18
·
CVE-2022-29885
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 10.1.0-M1 a 10.1.0-M14
Versões do Apache Tomcat 10.0.0-M1 a 10.0.20
Versões do Apache Tomcat 9.0.13 a 9.0.62
Versões do Apache Tomcat 8.5.38 a 8.5.78
Descrição
O problema está relacionado ao EncryptInterceptor no Apache Tomcat, que foi documentado incorretamente como permitindo que o clustering do Tomcat fosse executado em uma rede não confiável. Embora o EncryptInterceptor ofereça proteção de confidencialidade e integridade, ele não protege contra todos os riscos associados à execução em uma rede não confiável, particularmente os riscos de negação de serviço (DoS). Isso poderia permitir que um invasor remoto causasse uma negação de serviço.
Recomendações
Para as versões do Apache Tomcat 10.1.0-M1 a 10.1.0-M14, atualize a documentação para refletir os recursos corretos do EncryptInterceptor.
Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.20, atualize a documentação para refletir os recursos corretos do EncryptInterceptor.
Para as versões do Apache Tomcat 9.0.13 a 9.0.62, atualize a documentação para refletir os recursos corretos do EncryptInterceptor.
Para as versões do Apache Tomcat 8.5.38 a 8.5.78, atualize a documentação para refletir os recursos corretos do EncryptInterceptor.
Como solução alternativa temporária, considere restringir o acesso ao EncryptInterceptor para minimizar o risco de exploração.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Linuxmint
Red Os
Ubuntu