Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04408

Опубликовано: 08 апр. 2019
Источник: fstec
CVSS3: 5.6
CVSS2: 6
EPSS Средний

Описание

Уязвимость компонента mod_auth_digest веб-сервера Apache HTTP Server вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проходить аутентификацию, используя другое имя пользователя

Вендор

Red Hat Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
Oracle Corp.
Apache Software Foundation
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Astra Linux Special Edition
Debian GNU/Linux
OpenSUSE Leap
Fedora
Instantis EnterpriseTrack
Astra Linux Common Edition
HTTP Server
ROSA Virtualization
ROSA Virtualization 3.0

Версия ПО

Desktop 7 (Red Hat Enterprise Linux)
Workstation 7 (Red Hat Enterprise Linux)
14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
28 (Fedora)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
29 (Fedora)
Server 7.0 (Red Hat Enterprise Linux)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
15.0 (OpenSUSE Leap)
30 (Fedora)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
от 2.4.0 до 2.4.39 (HTTP Server)
2.1 (ROSA Virtualization)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux Desktop 7
Red Hat Inc. Red Hat Enterprise Linux Workstation 7
Canonical Ltd. Ubuntu 14.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Fedora Project Fedora 28
Canonical Ltd. Ubuntu 18.10
Fedora Project Fedora 29
Red Hat Inc. Red Hat Enterprise Linux Server 7.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для веб-сервера Apache HTTP:
https://httpd.apache.org/security/vulnerabilities_24.html
Для программных средств Oracle:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4422
Для Ubuntu:
https://usn.ubuntu.com/3937-1/
https://usn.ubuntu.com/3937-2/
Для программных продуктов Novell Inc.:
http://www.openwall.com/lists/oss-security/2019/04/02/5
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ALIR5S3O7NRHEGFMIDMUSYQIZOE4TJJN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZRMTEIGZKYFNGIDOTXN3GNEJTLVCYU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WETXNQWNQLWHV6XNW6YTO5UGDTIWAQGT/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-0217
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.43022
Средний

5.6 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-0217

CVSS3: 7.5
ubuntu
почти 7 лет назад

In Apache HTTP Server 2.4 release 2.4.38 and prior, a race condition in mod_auth_digest when running in a threaded server could allow a user with valid credentials to authenticate using another username, bypassing configured access control restrictions.

redhat логотип

CVE-2019-0217

CVSS3: 7.1
redhat
почти 7 лет назад

In Apache HTTP Server 2.4 release 2.4.38 and prior, a race condition in mod_auth_digest when running in a threaded server could allow a user with valid credentials to authenticate using another username, bypassing configured access control restrictions.

nvd логотип

CVE-2019-0217

CVSS3: 7.5
nvd
почти 7 лет назад

In Apache HTTP Server 2.4 release 2.4.38 and prior, a race condition in mod_auth_digest when running in a threaded server could allow a user with valid credentials to authenticate using another username, bypassing configured access control restrictions.

debian логотип

CVE-2019-0217

CVSS3: 7.5
debian
почти 7 лет назад

In Apache HTTP Server 2.4 release 2.4.38 and prior, a race condition i ...

github логотип

GHSA-q29r-xr2f-g7j5

CVSS3: 7.5
github
больше 3 лет назад

In Apache HTTP Server 2.4 release 2.4.38 and prior, a race condition in mod_auth_digest when running in a threaded server could allow a user with valid credentials to authenticate using another username, bypassing configured access control restrictions.

EPSS

Процентиль: 97%
0.43022
Средний

5.6 Medium

CVSS3

6 Medium

CVSS2