BDU:2019-01404: Уязвимость модуля MPM веб-сервера Apache HTTP, связанная с использованием памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость модуля MPM веб-сервера Apache HTTP Server связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с привилегиями root с помощью специально созданного сценария
Вендор Canonical Ltd., Apache Software Foundation, Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения
Наименование ПО Ubuntu, Apache HTTP Server, Enterprise Manager Ops Center, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, HTTP Server, Retail Xstore Point of Service, Instantis EnterpriseTrack, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156)
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 2.4.17 (Apache HTTP Server)
  • 2.4.18 (Apache HTTP Server)
  • 18.04 LTS (Ubuntu)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 2.4.20 (Apache HTTP Server)
  • 2.4.23 (Apache HTTP Server)
  • 2.4.25 (Apache HTTP Server)
  • 2.4.26 (Apache HTTP Server)
  • 2.4.27 (Apache HTTP Server)
  • 2.4.28 (Apache HTTP Server)
  • 2.4.29 (Apache HTTP Server)
  • 2.4.30 (Apache HTTP Server)
  • 2.4.33 (Apache HTTP Server)
  • 2.4.34 (Apache HTTP Server)
  • 18.10 (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.4.38 (Apache HTTP Server)
  • 2.4.37 (Apache HTTP Server)
  • 2.4.35 (Apache HTTP Server)
  • 12.2.1.3.0 (HTTP Server)
  • 7.0 (Retail Xstore Point of Service)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 10.0 (Debian GNU/Linux)
  • 12.4.0 (Enterprise Manager Ops Center)
  • 7.1 (Retail Xstore Point of Service)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
Тип ПО Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Исполнение с необязательными привилегиями, Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 08.04.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для apache2:
Обновление программного обеспечения до 2.4.38-3 или более поздней версии

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-0211

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

[#---]
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения