Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04287

Опубликовано: 12 апр. 2019
Источник: fstec
CVSS3: 9.1
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Enterprise Manager Ops Center
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Suse Linux Enterprise Server
OpenSUSE Leap
SUSE Linux Enterprise Module for Server Applications
Apache HTTP Server
SUSE Linux Enterprise High Performance Computing
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
8.0 (Debian GNU/Linux)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
12 SP4 (Suse Linux Enterprise Server)
15.0 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Module for Server Applications)
15 (SUSE Linux Enterprise Module for Server Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12.4.0 (Enterprise Manager Ops Center)
от 2.4.18 до 2.4.39 включительно (Apache HTTP Server)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
12.4.0.0 (Enterprise Manager Ops Center)
1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Novell Inc. Suse Linux Enterprise Server 12 SP5
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Обновление веб-сервера Apache HTTP Server до версии 2.4.41 или новее
Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10082/
Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.10-10+deb8u16 или более поздней версии
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.41329
Средний

9.1 Critical

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10082

CVSS3: 9.1
ubuntu
больше 5 лет назад

In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the http/2 session handling could be made to read memory after being freed, during connection shutdown.

redhat логотип

CVE-2019-10082

CVSS3: 6.5
redhat
почти 6 лет назад

In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the http/2 session handling could be made to read memory after being freed, during connection shutdown.

nvd логотип

CVE-2019-10082

CVSS3: 9.1
nvd
больше 5 лет назад

In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the http/2 session handling could be made to read memory after being freed, during connection shutdown.

debian логотип

CVE-2019-10082

CVSS3: 9.1
debian
больше 5 лет назад

In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the h ...

github логотип

GHSA-28c2-r3qq-82vj

CVSS3: 9.1
github
около 3 лет назад

In Apache HTTP Server 2.4.18-2.4.39, using fuzzed network input, the http/2 session handling could be made to read memory after being freed, during connection shutdown.

EPSS

Процентиль: 97%
0.41329
Средний

9.1 Critical

CVSS3

7.8 High

CVSS2