低危 SUSE LE 安全漏洞

CVE编号

CVE-2020-8022

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-29

漏洞描述

SUSE Linux Enterprise Server等都是德国SUSE公司的产品。SUSE Linux Enterprise Server是一套企业服务器版Linux操作系统。SUSE OpenStack Cloud是一套基于软件的企业级数据储存解决方案。SUSE Enterprise Storage是一套软件定义的储存解决方案。 多款SUSE产品中的tomcat存在安全漏洞。本地攻击者可利用该漏洞提升权限。以下产品及版本受到影响：SUSE Enterprise Storage 5版本（tomcat 8.0.53-29.32.1之前版本）；SUSE Linux Enterprise Server 12-SP2-BCL版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server 12-SP2-LTSS版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server 12-SP3-BCL版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server 12-SP3-LTSS版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server 12-SP4版本（tomcat 9.0.35-3.39.1之前版本），SUSE Linux Enterprise Server 12-SP5版本（tomcat 9.0.35-3.39.1之前版本），SUSE Linux Enterprise Server 15-LTSS版本（tomcat 9.0.35-3.57.3之前版本），SUSE Linux Enterprise Server for SAP 12-SP2版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server for SAP 12-SP3版本（tomcat 8.0.53-29.32.1之前版本），SUSE Linux Enterprise Server for SAP 15版本（tomcat 9.0.35-3.57.3之前版本）；SUSE OpenStack Cloud 7版本（tomcat 8.0.53-29.32.1之前版本）；SUSE OpenStack Cloud 8版本（tomcat8.0.53-29.32.1之前版本）；SUSE OpenStack Cloud Crowbar 8版本（tomcat8.0.53-29.32.1之前版本）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00066.html
https://bugzilla.suse.com/show_bug.cgi?id=1172405
https://lists.apache.org/thread.html/r393d4f431683e99c839b4aed68f720b8583bca6...
https://lists.apache.org/thread.html/r5be80ba868a11a1f64e4922399f171b8619bca4...
https://lists.apache.org/thread.html/ra87ec20a0f4b226c81c7eed27e5d7433ccdc41e...
https://lists.apache.org/thread.html/rf50d02409e5732c4ee37f19a193af171251a25a...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	tomcat	*		Up to (excluding) 8.0.53-29.32.1
	运行在以下环境
	应用	apache	tomcat	*		Up to (excluding) 9.0.35-3.39.1
	运行在以下环境
	应用	apache	tomcat	*		Up to (excluding) 9.0.35-3.57.3
	运行在以下环境
	应用	suse	enterprise_storage	5.0	-
	运行在以下环境
	应用	suse	openstack_cloud	7.0	-
	运行在以下环境
	应用	suse	openstack_cloud	8.0	-
	运行在以下环境
	应用	suse	openstack_cloud_crowbar	8.0	-
	运行在以下环境
	系统	opensuse	leap	15.1	-
	运行在以下环境
	系统	opensuse_Leap_15.1	tomcat-javadoc	*		Up to (excluding) 9.0.35-lp151.3.21.1
	运行在以下环境
	系统	suse	linux_enterprise_server	12	-
	运行在以下环境
	系统	suse	linux_enterprise_server	15	-
	运行在以下环境
	系统	suse_12_SP4	tomcat-el-3_0-api	*		Up to (excluding) 9.0.35-3.39.1
	运行在以下环境
	系统	suse_12_SP5	tomcat-el-3_0-api	*		Up to (excluding) 9.0.35-3.39.1

阿里云评分 2.9

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-276	缺省权限不正确

Exp相关链接

- avd.aliyun.com