Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02149

Опубликовано: 11 апр. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость модуля mod_mime веб-сервера Apache HTTP Server (HTTPD) вызвана выходом операции чтения за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать сбой дочернего процесса HTTPD при помощи специально созданного вредоносного заголовка Content-Type

Вендор

Apache Software Foundation
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»

Наименование ПО

HTTP Server
Debian GNU/Linux
Astra Linux Common Edition
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

от 2.2 до 2.2.33 (HTTP Server)
от 2.4 до 2.4.26 (HTTP Server)
9 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
10 (Debian GNU/Linux)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Сетевое программное средство
Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://lists.apache.org/thread.html/f4515e580dfb6eeca589a5cdebd4c4c709ce632b12924f343c3b7751%3Cdev.httpd.apache.org%3E
Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.45226
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-7679

CVSS3: 9.8
ubuntu
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.

redhat логотип

CVE-2017-7679

CVSS3: 3.7
redhat
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.

nvd логотип

CVE-2017-7679

CVSS3: 9.8
nvd
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.

debian логотип

CVE-2017-7679

CVSS3: 9.8
debian
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime ...

github логотип

GHSA-v946-67fg-g8xg

CVSS3: 9.8
github
больше 3 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.

EPSS

Процентиль: 97%
0.45226
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2