Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00102

Опубликовано: 13 июл. 2017
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Средний

Описание

Уязвимость модуля mod_auth_ digest httpd-демона веб-сервера Apache HTTP Server вызвана некорректной инициализацией переменной. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации или вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Apache Software Foundation
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Debian GNU/Linux
HTTP Server
Astra Linux Common Edition
JBoss Enterprise Application Platform
JBoss Core Services
Red Hat JBoss Enterprise Web Server
Jboss Web Server
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
от 2.2 до 2.2.34 (HTTP Server)
от 2.4 до 2.4.27 (HTTP Server)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
6.4 (JBoss Enterprise Application Platform)
10 (Debian GNU/Linux)
- (JBoss Core Services)
7.3 Extended Update Support (Red Hat Enterprise Linux)
6.7 Extended Update Support (Red Hat Enterprise Linux)
7.2 Extended Update Support (Red Hat Enterprise Linux)
2 (Red Hat JBoss Enterprise Web Server)
1 (JBoss Core Services)
2.1 (Jboss Web Server)
6.4 for RHEL 6 (JBoss Enterprise Application Platform)
до 2.2.33 включительно (HTTP Server)
от 2.4.0 до 2.4.26 включительно (HTTP Server)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 7.3 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 6.7 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.2 Extended Update Support
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://lists.apache.org/thread.html/0dd69204a6bd643cc4e9ccd008f07a9375525d977c6ebeb07a881afb@%3Cannounce.httpd.apache.org%3E
Для Ubuntu:
https://ubuntu.com/security/notices/USN-3340-1
https://ubuntu.com/security/notices/USN-3373-1
Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-3913
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-9788
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.52641
Средний

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-9788

CVSS3: 9.1
ubuntu
больше 8 лет назад

In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between successive key=value assignments by mod_auth_digest. Providing an initial key with no '=' assignment could reflect the stale value of uninitialized pool memory used by the prior request, leading to leakage of potentially confidential information, and a segfault in other cases resulting in denial of service.

redhat логотип

CVE-2017-9788

CVSS3: 4.8
redhat
больше 8 лет назад

In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between successive key=value assignments by mod_auth_digest. Providing an initial key with no '=' assignment could reflect the stale value of uninitialized pool memory used by the prior request, leading to leakage of potentially confidential information, and a segfault in other cases resulting in denial of service.

nvd логотип

CVE-2017-9788

CVSS3: 9.1
nvd
больше 8 лет назад

In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between successive key=value assignments by mod_auth_digest. Providing an initial key with no '=' assignment could reflect the stale value of uninitialized pool memory used by the prior request, leading to leakage of potentially confidential information, and a segfault in other cases resulting in denial of service.

debian логотип

CVE-2017-9788

CVSS3: 9.1
debian
больше 8 лет назад

In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value place ...

suse-cvrf логотип

openSUSE-SU-2017:2016-1

suse-cvrf
больше 8 лет назад

Security update for apache2

EPSS

Процентиль: 98%
0.52641
Средний

6.5 Medium

CVSS3

6.4 Medium

CVSS2