Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-04928: Уязвимость реализации протокола HTTP/2 веб-сервера Apache Traffic Server, позволяющая нарушителю выполнить произвольный код

Основная информация
Подробнее

Описание уязвимости

Уязвимость реализации протокола HTTP/2 веб-сервера Apache Traffic Server связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Apache Traffic Server

Версия ПО

от 8.0.0 до 8.1.5
от 9.0.0 до 9.1.3

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')

Идентификатор типа ошибки

CWE-444

Класс уязвимости

Уязвимость кода

Дата выявления

10.08.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/rc64lwbdgrkv674koc3zl1sljr9vwg21

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://lists.apache.org/thread/rc64lwbdgrkv674koc3zl1sljr9vwg21

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-31780

Прочая информация

Данные уточняются

Последние изменения