Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03652: Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации с помощью специально сформированного URL-запроса

Вендор

Сообщество свободного программного обеспечения, Oracle Corp., Apache Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux, Enterprise Manager Ops Center, Apache HTTP Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
8.0 (Debian GNU/Linux)
12.4.0 (Enterprise Manager Ops Center)
10 (Debian GNU/Linux)
от 2.4.0 до 2.4.39 (включительно) (Apache HTTP Server)
1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Сетевое программное средство, ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)

Тип ошибки

Переадресация URL на ненадежный сайт («Открытая переадресация»)

Идентификатор типа ошибки

CWE-601

Класс уязвимости

Уязвимость кода

Дата выявления

26.03.2019

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для apache2:

Обновление программного обеспечения до 2.4.41-1 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2019-10098

https://security-tracker.debian.org/tracker/CVE-2019-10098
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://httpd.apache.org/security/vulnerabilities_24.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2019-10098

Прочая информация

Данные уточняются

Последние изменения