BDU:2019-04286: Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю перенаправить пользователя на вредоносный сайт с помощью специально сформированной веб-страницы

Описание уязвимости

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на вредоносный сайт с помощью специально сформированной веб-страницы

Вендор

Oracle Corp., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Red Hat Inc., Apache Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

Enterprise Manager Ops Center, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, Red Hat Enterprise Linux, OpenSUSE Leap, SUSE Linux Enterprise Module for Server Applications, Apache HTTP Server, JBoss Core Services, SUSE Linux Enterprise High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Jboss Web Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 12.3.3 (Enterprise Manager Ops Center)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 9.0 (Debian GNU/Linux)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 15 SP1 (SUSE Linux Enterprise Module for Server Applications)
  • 15 (SUSE Linux Enterprise Module for Server Applications)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Software Development Kit)
  • 8 (Debian GNU/Linux)
  • 12.4.0 (Enterprise Manager Ops Center)
  • от 2.4.0 до 2.4.39 (включительно) (Apache HTTP Server)
  • - (JBoss Core Services)
  • 12 SP5 (SUSE Linux Enterprise High Performance Computing)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 3 (Jboss Web Server)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Сетевое программное средство, ПО программно-аппаратного средства, Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

09.07.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Обновление веб-сервера Apache HTTP Server до версии 2.4.41 или новее:
https://httpd.apache.org/security/vulnerabilities_24.html

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/09/msg00034.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10092/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения