BDU:2022-04141: Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю получить обойти ограничения безопасности

Описание уязвимости Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с недостаточной проверкой подлинности данных или использовании ненадежного источника при обработке заголовков X-Forwarded-*. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», АО «ИВК», Apache Software Foundation, АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Red Hat Software Collections, JBoss Core Services, Jboss Web Server, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Apache HTTP Server, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • - (Red Hat Software Collections)
  • - (JBoss Core Services)
  • 3 (Jboss Web Server)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • 9 (Red Hat Enterprise Linux)
  • до 2.4.54 (Apache HTTP Server)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Неправильная аутентификация, Недостаточная проверка подлинности данных, Использование менее надежного источника
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-31813

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/
https://bodhi.fedoraproject.org/updates/FEDORA-2022-b54a8dee29
https://bodhi.fedoraproject.org/updates/FEDORA-2022-e620fb15d5

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.54-1osnova10
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение аутентификации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения