Описание
Уязвимость веб-сервера Apache HTTP Server связана с переполнением кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Apache Software Foundation
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux
Astra Linux Special Edition
Red Hat Enterprise Linux
Suse Linux Enterprise Server
Astra Linux Special Edition для «Эльбрус»
Apache HTTP Server
ОСОН ОСнова Оnyx
ROSA Virtualization
ОС ОН «Стрелец»
Версия ПО
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
10 (Debian GNU/Linux)
12 SP3-ESPOS (Suse Linux Enterprise Server)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
от 2.4.0 до 2.4.46 (Apache HTTP Server)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Сетевое программное средство
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://httpd.apache.org/security/vulnerabilities_24.html
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4937
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-26691.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-26691
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.48-3~bpo10+1.osnova7
Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2158
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 97%
0.40933
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
около 4 лет назад
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow
CVSS3: 8.1
redhat
около 4 лет назад
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow
CVSS3: 9.8
nvd
около 4 лет назад
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow
CVSS3: 9.8
debian
около 4 лет назад
In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted Ses ...
EPSS
Процентиль: 97%
0.40933
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2