БДУ - Print

BDU:2019-03652: Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации

Описание уязвимости	Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к конфиденциальной информации или оказать воздействие на доступность информации с помощью специально сформированного URL-запроса
Вендор	Сообщество свободного программного обеспечения, Oracle Corp., Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Enterprise Manager Ops Center, Apache HTTP Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux), 12.3.3 (Enterprise Manager Ops Center), 8.0 (Debian GNU/Linux), 12.4.0 (Enterprise Manager Ops Center), 10 (Debian GNU/Linux), от 2.4.0 до 2.4.39 (включительно) (Apache HTTP Server), 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки	Переадресация URL на ненадежный сайт («Открытая переадресация»)
Идентификатор типа ошибки	CWE-601
Класс уязвимости	Уязвимость кода
Дата выявления	26.03.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для apache2: Обновление программного обеспечения до 2.4.41-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии Для программных средств Oracle: https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-10098 https://security-tracker.debian.org/tracker/CVE-2019-10098 https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html https://httpd.apache.org/security/vulnerabilities_24.html https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-10098
Прочая информация	Данные уточняются