Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04407

Опубликовано: 11 июн. 2019
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Средний

Описание

Уязвимость модуля RewriteRule веб-сервера Apache связана с неверной обработкой запроса, который содержит несколько косых черт ("/"). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Canonical Ltd.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
Oracle Corp.
Apache Software Foundation
АО «НТЦ ИТ РОСА»

Наименование ПО

Ubuntu
Astra Linux Special Edition
Debian GNU/Linux
OpenSUSE Leap
Fedora
Instantis EnterpriseTrack
Astra Linux Common Edition
HTTP Server
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
28 (Fedora)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
29 (Fedora)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
15.0 (OpenSUSE Leap)
30 (Fedora)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
от 2.4.0 до 2.4.39 (HTTP Server)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Fedora Project Fedora 28
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 29
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.0
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для веб-сервера Apache HTTP:
https://httpd.apache.org/security/vulnerabilities_24.html
Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
Для Ubuntu:
https://usn.ubuntu.com/3937-1/
Для OpenSUSE Leap:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00051.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00061.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00084.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ALIR5S3O7NRHEGFMIDMUSYQIZOE4TJJN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZRMTEIGZKYFNGIDOTXN3GNEJTLVCYU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WETXNQWNQLWHV6XNW6YTO5UGDTIWAQGT/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-0220
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.20573
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-0220

CVSS3: 5.3
ubuntu
больше 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.0 to 2.4.38. When the path component of a request URL contains multiple consecutive slashes ('/'), directives such as LocationMatch and RewriteRule must account for duplicates in regular expressions while other aspects of the servers processing will implicitly collapse them.

redhat логотип

CVE-2019-0220

CVSS3: 3.3
redhat
почти 7 лет назад

A vulnerability was found in Apache HTTP Server 2.4.0 to 2.4.38. When the path component of a request URL contains multiple consecutive slashes ('/'), directives such as LocationMatch and RewriteRule must account for duplicates in regular expressions while other aspects of the servers processing will implicitly collapse them.

nvd логотип

CVE-2019-0220

CVSS3: 5.3
nvd
больше 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.0 to 2.4.38. When the path component of a request URL contains multiple consecutive slashes ('/'), directives such as LocationMatch and RewriteRule must account for duplicates in regular expressions while other aspects of the servers processing will implicitly collapse them.

debian логотип

CVE-2019-0220

CVSS3: 5.3
debian
больше 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.0 to 2.4.38. When ...

github логотип

GHSA-mfx7-67r8-jcfr

CVSS3: 5.3
github
больше 3 лет назад

A vulnerability was found in Apache HTTP Server 2.4.0 to 2.4.38. When the path component of a request URL contains multiple consecutive slashes ('/'), directives such as LocationMatch and RewriteRule must account for duplicates in regular expressions while other aspects of the servers processing will implicitly collapse them.

EPSS

Процентиль: 95%
0.20573
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2