BDU:2020-03569: Уязвимость функции mod_rewrite сервера приложений Apache Tomcat, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость функции mod_rewrite сервера приложений Apache Tomcat связана с переадресацией URL на ненадёжный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Canonical Ltd., Сообщество свободного программного обеспечения, Oracle Corp., Novell Inc., ООО «РусБИТех-Астра», Apache Software Foundation
Наименование ПО Ubuntu, Debian GNU/Linux, Instantis EnterpriseTrack, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Enterprise Manager Ops Center, Communications Instant Messaging Server, Apache HTTP Server
Версия ПО
  • 16.04 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.1.1 (Oracle Communications Element Manager)
  • 8.2.0 (Oracle Communications Element Manager)
  • 8.1.1 (Oracle Communications Session Report Manager)
  • 8.2.0 (Oracle Communications Session Report Manager)
  • 8.1.1 (Oracle Communications Session Route Manager)
  • 8.2.0 (Oracle Communications Session Route Manager)
  • 20.04 LTS (Ubuntu)
  • 20.10 (Ubuntu)
  • 8.2.1 (Oracle Communications Element Manager)
  • 8.2.1 (Oracle Communications Session Report Manager)
  • 8.2.1 (Oracle Communications Session Route Manager)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 10.0.1.4.0 (Communications Instant Messaging Server)
  • от 2.4.0 до 2.4.41 включительно (Apache HTTP Server)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 16.04
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. OpenSUSE Leap 15.1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Canonical Ltd. Ubuntu 20.10
Тип ошибки Переадресация URL на ненадежный сайт («Открытая переадресация»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 24.02.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1927/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-1927

Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-1927.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения