Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05176

Опубликовано: 07 авг. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость модуля mod_proxy_uwsgi веб-сервера Apache HTTP Server связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Fedora Project
Apache Software Foundation
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Instantis EnterpriseTrack
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Fedora
Red Hat Software Collections
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Apache HTTP Server
ROSA Virtualization
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
10 (Debian GNU/Linux)
31 (Fedora)
- (Red Hat Software Collections)
32 (Fedora)
20.04 LTS (Ubuntu)
15.2 (OpenSUSE Leap)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
от 2.4.32 до 2.4.44 включительно (Apache HTTP Server)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Fedora Project Fedora 32
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. OpenSUSE Leap 15.2
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11984
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11984
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11984/
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-11984
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RN46PRBJE7E7OPD4YZX5SVWV5QKGV5/
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.61355
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11984

CVSS3: 9.8
ubuntu
почти 5 лет назад

Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE

redhat логотип

CVE-2020-11984

CVSS3: 9.8
redhat
почти 5 лет назад

Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE

nvd логотип

CVE-2020-11984

CVSS3: 9.8
nvd
почти 5 лет назад

Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure and possible RCE

msrc логотип

CVE-2020-11984

CVSS3: 9.8
msrc
почти 5 лет назад

Описание отсутствует

debian логотип

CVE-2020-11984

CVSS3: 9.8
debian
почти 5 лет назад

Apache HTTP server 2.4.32 to 2.4.44 mod_proxy_uwsgi info disclosure an ...

EPSS

Процентиль: 98%
0.61355
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Уязвимость BDU:2020-05176