БДУ - Уязвимости

BDU:2019-04285: Уязвимость модуля mod_remoteip веб-сервера Apache HTTP Server, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Основная информация
Подробнее

Описание уязвимости

Уязвимость модуля mod_remoteip веб-сервера Apache HTTP Server вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в результате использования специально созданного заголовка PROXY доверенным промежуточным прокси-сервером

Вендор

Сообщество свободного программного обеспечения, Oracle Corp., Apache Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux, Enterprise Manager Ops Center, Apache HTTP Server, HTTP Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
8.0 (Debian GNU/Linux)
12.4.0 (Enterprise Manager Ops Center)
10 (Debian GNU/Linux)
от 2.4.32 до 2.4.39 включительно (Apache HTTP Server)
12.2.1.4.0 (HTTP Server)
12.4.0.0 (Enterprise Manager Ops Center)
1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)

Тип ошибки

Выход операции за границы буфера в памяти, Разыменование указателя NULL

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

23.07.2019

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
Обновление веб-сервера Apache HTTP Server до версии 2.4.41 или новее

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.10-10+deb8u16 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://nvd.nist.gov/vuln/detail/CVE-2019-10097
https://httpd.apache.org/security/vulnerabilities_24.html
https://security-tracker.debian.org/tracker/CVE-2019-10097
https://www.oracle.com/security-alerts/cpujul2020.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2019-10097

Прочая информация