BDU:2019-03652: Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации

Описание уязвимости

Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации с помощью специально сформированного URL-запроса

Вендор

Oracle Corp., Сообщество свободного программного обеспечения, Apache Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

Enterprise Manager Ops Center, Debian GNU/Linux, Apache HTTP Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 12.3.3 (Enterprise Manager Ops Center)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 12.4.0 (Enterprise Manager Ops Center)
  • от 2.4.0 до 2.4.39 (включительно) (Apache HTTP Server)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Сетевое программное средство, ПО программно-аппаратного средства, Операционная система

Операционные системы и аппаратные платформы

  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)

Тип ошибки

Переадресация URL на ненадежный сайт («Открытая переадресация»)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

26.03.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для apache2:

Обновление программного обеспечения до 2.4.41-1 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения