Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02152

Опубликовано: 05 дек. 2016
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость модуля mod_ssl веб-сервера Apache HTTP Server связана с ошибками разыменования указателей (NULL). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к локальным файлам при вызове сторонних модулей функции ap_hook_process_connection() во время HTTP-запроса на порт HTTPS

Вендор

Red Hat Inc.
Apache Software Foundation
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
HTTP Server
Debian GNU/Linux
Astra Linux Common Edition
Red Hat Software Collections
JBoss Core Services
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
от 2.2 до 2.2.33 (HTTP Server)
от 2.4 до 2.4.26 (HTTP Server)
9 (Debian GNU/Linux)
8.0 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
- (Red Hat Software Collections)
- (JBoss Core Services)
7.3 Extended Update Support (Red Hat Enterprise Linux)
6.7 Extended Update Support (Red Hat Enterprise Linux)
7.2 Extended Update Support (Red Hat Enterprise Linux)
1 (JBoss Core Services)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 7.3 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 6.7 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.2 Extended Update Support
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://lists.apache.org/thread.html/84bf7fcc5cad35d355f11839cbdd13cbc5ffc1d34675090bff0f96ae3Cdev.httpd.apache.org%3E
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-3169
Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-3896
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.3838
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-3169

CVSS3: 9.8
ubuntu
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP request to an HTTPS port.

redhat логотип

CVE-2017-3169

CVSS3: 3.7
redhat
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP request to an HTTPS port.

nvd логотип

CVE-2017-3169

CVSS3: 9.8
nvd
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP request to an HTTPS port.

debian логотип

CVE-2017-3169

CVSS3: 9.8
debian
больше 8 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl m ...

github логотип

GHSA-p3gj-wq33-qg67

CVSS3: 9.8
github
больше 3 лет назад

In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP request to an HTTPS port.

EPSS

Процентиль: 97%
0.3838
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Уязвимость BDU:2017-02152