Bug 14239

Summary:	[CVE 21] tomcat 9.0.37 CVEs - 3
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Vladimir Potapov <v.potapov>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	critical
Priority:	Highest	CC:	a.proklov, s.matveev
Version:	All	Flags:	v.potapov: qa_verified+ v.potapov: secteam_verified? a.proklov: published+
Target Milestone:	2021.1 Fresh R12
Hardware:	All
OS:	Linux
URL:	CVE-2020-13943,CVE-2020-17527,CVE-2023-46589
Whiteboard:
Platform:	2021.1	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Vladimir Potapov 2024-01-12 12:40:05 MSK

https://nvd.nist.gov/vuln/detail/CVE-2020-13943 medium
https://nvd.nist.gov/vuln/detail/CVE-2020-17527 HIGH

Comment 1 Vladimir Potapov 2024-01-12 12:42:10 MSK

https://nvd.nist.gov/vuln/detail/CVE-2023-46589 HIGH

Comment 2 Aleksandr Proklov 2024-01-16 06:24:25 MSK

CVE-2020-13943 CVE-2020-17527 - закрыты патчами

CVE-2023-46589 не закрыть, нет такого кода, патч не накладывается
https://github.com/apache/tomcat/commit/7a2d8818fcea0b51747a67af9510ce7977245ebd

---------------------------------
tomcat	9.0.37-5

https://abf.rosalinux.ru/build_lists/4956066 x64
https://abf.rosalinux.ru/build_lists/4956067

статус Resolved не выставляю, ставьте сами если нужно.

Comment 3 Vladimir Potapov 2024-01-16 10:42:35 MSK

(In reply to Aleksandr Proklov from comment #2)
> CVE-2020-13943 CVE-2020-17527 - закрыты патчами
> 
> CVE-2023-46589 не закрыть, нет такого кода, патч не накладывается
Дебиановцы пишут, что в https://security-tracker.debian.org/tracker/CVE-2023-46589
9.0.31-1~deb10u11 они закрыли уязвимость, т.е. в предыдущей к нашей версии патч есть. Его можно взять?

Comment 4 Svyatoslav Matveev 2024-01-16 17:51:00 MSK

********** QA ADVISORY **********

CVE-2023-46589 закрыто наложением патчей.

*** tomcat 9.0.37 release +1

https://abf.io/build_lists/4956430
https://abf.io/build_lists/4956431

**  rosa2021.15
*** tomcat 9.0.37 release +1

https://abf.io/build_lists/4956433
https://abf.io/build_lists/4956434

Comment 5 Vladimir Potapov 2024-01-17 06:03:17 MSK

(In reply to Svyatoslav Matveev from comment #4)
> ********** QA ADVISORY **********
> 
> CVE-2023-46589 закрыто наложением патчей.
> 
> *** tomcat 9.0.37 release +1
> 
> https://abf.io/build_lists/4956430
> https://abf.io/build_lists/4956431
********************************************
The update sent to testings


> 
> **  rosa2021.15
> *** tomcat 9.0.37 release +1
> 
> https://abf.io/build_lists/4956433
> https://abf.io/build_lists/4956434
*****************************************
published

Comment 6 Vladimir Potapov 2024-01-24 09:12:49 MSK

tomcat-9.0.37-6
https://abf.io/build_lists/4956430
https://abf.io/build_lists/4956431
************************* Advisory **********************
CVEs fixed via patches
*********************************************************
QA Verified