Описание
Уязвимость модуля mod_proxy_uwsgi веб-сервера Apache HTTP Server связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Fedora Project
Apache Software Foundation
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Ubuntu
Debian GNU/Linux
Instantis EnterpriseTrack
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Fedora
Red Hat Software Collections
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
HTTP Server
ROSA Virtualization
ОС ОН «Стрелец»
ROSA Virtualization 3.0
Версия ПО
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
10 (Debian GNU/Linux)
31 (Fedora)
- (Red Hat Software Collections)
32 (Fedora)
20.04 LTS (Ubuntu)
15.2 (OpenSUSE Leap)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
от 2.4.32 до 2.4.44 включительно (HTTP Server)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Fedora Project Fedora 32
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. OpenSUSE Leap 15.2
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11984
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11984
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11984/
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-11984
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RN46PRBJE7E7OPD4YZX5SVWV5QKGV5/
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.75348
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 5 лет назад
Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE
CVSS3: 9.8
redhat
больше 5 лет назад
Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE
CVSS3: 9.8
nvd
больше 5 лет назад
Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE
CVSS3: 9.8
msrc
больше 5 лет назад
Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE
CVSS3: 9.8
debian
больше 5 лет назад
Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure an ...
EPSS
Процентиль: 99%
0.75348
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2