Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-04141: Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю получить обойти ограничения безопасности

Основная информация
Подробнее

Описание уязвимости

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с недостаточной проверкой подлинности данных или использовании ненадежного источника при обработке заголовков X-Forwarded-*. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Вендор

ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», АО «ИВК», Apache Software Foundation, АО "НППКТ"

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Red Hat Software Collections, JBoss Core Services, Jboss Web Server, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Apache HTTP Server, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
- (Red Hat Software Collections)
- (JBoss Core Services)
3 (Jboss Web Server)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
36 (Fedora)
9 (Red Hat Enterprise Linux)
до 2.4.54 (Apache HTTP Server)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем, Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)

Тип ошибки

Неправильная аутентификация, Недостаточная проверка подлинности данных, Использование менее надежного источника

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

08.06.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-31813

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/
https://bodhi.fedoraproject.org/updates/FEDORA-2022-b54a8dee29
https://bodhi.fedoraproject.org/updates/FEDORA-2022-e620fb15d5

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.54-1osnova10
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Нарушение аутентификации
Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-apache-http-cve-2022-26377-cve-2022-28330-cve-2022-28614-cve-2022-28615-c/
https://access.redhat.com/security/cve/cve-2022-31813
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/
https://bodhi.fedoraproject.org/updates/FEDORA-2022-b54a8dee29
https://bodhi.fedoraproject.org/updates/FEDORA-2022-e620fb15d5
http://www.openwall.com/lists/oss-security/2022/06/08/8
https://security.netapp.com/advisory/ntap-20220624-0005/
https://nvd.nist.gov/vuln/detail/CVE-2022-31813
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-31813

Прочая информация

Данные уточняются

Последние изменения