БДУ - Print

BDU:2019-04285: Уязвимость модуля mod_remoteip веб-сервера Apache HTTP Server, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость модуля mod_remoteip веб-сервера Apache HTTP Server вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в результате использования специально созданного заголовка PROXY доверенным промежуточным прокси-сервером
Вендор	Сообщество свободного программного обеспечения, Oracle Corp., Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Enterprise Manager Ops Center, Apache HTTP Server, HTTP Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux), 12.3.3 (Enterprise Manager Ops Center), 8.0 (Debian GNU/Linux), 12.4.0 (Enterprise Manager Ops Center), 10 (Debian GNU/Linux), от 2.4.32 до 2.4.39 включительно (Apache HTTP Server), 12.2.1.4.0 (HTTP Server), 12.4.0.0 (Enterprise Manager Ops Center), 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки	Выход операции за границы буфера в памяти, Разыменование указателя NULL
Идентификатор типа ошибки	CWE-119, CWE-476
Класс уязвимости	Уязвимость кода
Дата выявления	23.07.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Apache HTTP Server: Обновление веб-сервера Apache HTTP Server до версии 2.4.41 или новее Для программных средств Oracle: https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html Для Debian: Обновление программного обеспечения (пакета apache2) до 2.4.10-10+deb8u16 или более поздней версии Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html https://nvd.nist.gov/vuln/detail/CVE-2019-10097 https://httpd.apache.org/security/vulnerabilities_24.html https://security-tracker.debian.org/tracker/CVE-2019-10097 https://www.oracle.com/security-alerts/cpujul2020.html https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-10097
Прочая информация	Данные уточняются