Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01572

Опубликовано: 05 окт. 2018
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость функции register_hooks() (mod_auth_mellon) веб-сервера Apache HTTP Server связана с возможностью обхода аутентификации через запуск специального SAML ECP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующий механизм контроля доступа путем использования специальных HTTP-заголовков

Вендор

Сообщество свободного программного обеспечения
Apache Software Foundation

Наименование ПО

Debian GNU/Linux
HTTP Server

Версия ПО

9 (Debian GNU/Linux)
до 0.14.2 (HTTP Server)
8 (Debian GNU/Linux)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Для libapache2-mod-auth-mellon:
Обновление программного обеспечения до 0.14.2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета libapache2-mod-auth-mellon) до 0.12.0-2+deb9u1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03149
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-3878

CVSS3: 8.1
ubuntu
почти 7 лет назад

A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache is configured as a reverse proxy and mod_auth_mellon is configured to only let through authenticated users (with the require valid-user directive), adding special HTTP headers that are normally used to start the special SAML ECP (non-browser based) can be used to bypass authentication.

redhat логотип

CVE-2019-3878

CVSS3: 8.1
redhat
больше 7 лет назад

A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache is configured as a reverse proxy and mod_auth_mellon is configured to only let through authenticated users (with the require valid-user directive), adding special HTTP headers that are normally used to start the special SAML ECP (non-browser based) can be used to bypass authentication.

nvd логотип

CVE-2019-3878

CVSS3: 8.1
nvd
почти 7 лет назад

A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache is configured as a reverse proxy and mod_auth_mellon is configured to only let through authenticated users (with the require valid-user directive), adding special HTTP headers that are normally used to start the special SAML ECP (non-browser based) can be used to bypass authentication.

debian логотип

CVE-2019-3878

CVSS3: 8.1
debian
почти 7 лет назад

A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache ...

github логотип

GHSA-6gx9-985p-w8c8

CVSS3: 8.1
github
больше 3 лет назад

A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache is configured as a reverse proxy and mod_auth_mellon is configured to only let through authenticated users (with the require valid-user directive), adding special HTTP headers that are normally used to start the special SAML ECP (non-browser based) can be used to bypass authentication.

EPSS

Процентиль: 87%
0.03149
Низкий

8.1 High

CVSS3

8.5 High

CVSS2