Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03106

Опубликовано: 22 янв. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модуля mod_ssl веб-сервера Apache HTTP Server существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально сформированного запроса на повторное согласование параметров TLS-соединения

Вендор

Oracle Corp.
Apache Software Foundation
OpenSSL Software Foundation
NetApp Inc.
АО «НТЦ ИТ РОСА»

Наименование ПО

Enterprise Manager Ops Center
HTTP Server
Retail Xstore Point of Service
Instantis EnterpriseTrack
OpenSSL
Santricity Cloud Connector
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

12.3.3 (Enterprise Manager Ops Center)
2.4.37 (HTTP Server)
7.0 (Retail Xstore Point of Service)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
1.1.1 (OpenSSL)
1.1.1 Pre1 (OpenSSL)
1.1.1 Pre2 (OpenSSL)
1.1.1 Pre3 (OpenSSL)
1.1.1 Pre4 (OpenSSL)
1.1.1 Pre5 (OpenSSL)
1.1.1 Pre6 (OpenSSL)
1.1.1 Pre7 (OpenSSL)
1.1.1 Pre8 (OpenSSL)
1.1.1 Pre9 (OpenSSL)
1.1.1a (OpenSSL)
1.1.1b (OpenSSL)
- (Santricity Cloud Connector)
7.1 (Retail Xstore Point of Service)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем
Программное средство защиты
Операционная система

Операционные системы и аппаратные платформы

АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3E
https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277e100450209231830@%3Ccvs.httpd.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20190125-0001/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2902
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2901
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.07052
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-0190

CVSS3: 7.5
ubuntu
около 7 лет назад

A bug exists in the way mod_ssl handled client renegotiations. A remote attacker could send a carefully crafted request that would cause mod_ssl to enter a loop leading to a denial of service. This bug can be only triggered with Apache HTTP Server version 2.4.37 when using OpenSSL version 1.1.1 or later, due to an interaction in changes to handling of renegotiation attempts.

redhat логотип

CVE-2019-0190

CVSS3: 6.5
redhat
около 7 лет назад

A bug exists in the way mod_ssl handled client renegotiations. A remote attacker could send a carefully crafted request that would cause mod_ssl to enter a loop leading to a denial of service. This bug can be only triggered with Apache HTTP Server version 2.4.37 when using OpenSSL version 1.1.1 or later, due to an interaction in changes to handling of renegotiation attempts.

nvd логотип

CVE-2019-0190

CVSS3: 7.5
nvd
около 7 лет назад

A bug exists in the way mod_ssl handled client renegotiations. A remote attacker could send a carefully crafted request that would cause mod_ssl to enter a loop leading to a denial of service. This bug can be only triggered with Apache HTTP Server version 2.4.37 when using OpenSSL version 1.1.1 or later, due to an interaction in changes to handling of renegotiation attempts.

debian логотип

CVE-2019-0190

CVSS3: 7.5
debian
около 7 лет назад

A bug exists in the way mod_ssl handled client renegotiations. A remot ...

github логотип

GHSA-m3q7-x278-m229

CVSS3: 7.5
github
больше 3 лет назад

A bug exists in the way mod_ssl handled client renegotiations. A remote attacker could send a carefully crafted request that would cause mod_ssl to enter a loop leading to a denial of service. This bug can be only triggered with Apache HTTP Server version 2.4.37 when using OpenSSL version 1.1.1 or later, due to an interaction in changes to handling of renegotiation attempts.

EPSS

Процентиль: 91%
0.07052
Низкий

7.5 High

CVSS3

7.8 High

CVSS2