BDU:2022-04146: Уязвимость функции ap_strcmp_match() веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции ap_strcmp_match() веб-сервера Apache HTTP Server связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации путем отправки специально созданного HTTP-запроса
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», АО «ИВК», Apache Software Foundation, АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Red Hat Software Collections, JBoss Core Services, Jboss Web Server, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Apache HTTP Server, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • - (Red Hat Software Collections)
  • - (JBoss Core Services)
  • 3 (Jboss Web Server)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • 9 (Red Hat Enterprise Linux)
  • до 2.4.54 (Apache HTTP Server)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28615

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/
https://bodhi.fedoraproject.org/updates/FEDORA-2022-b54a8dee29
https://bodhi.fedoraproject.org/updates/FEDORA-2022-e620fb15d5

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.54-1osnova10
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения