Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04820

Опубликовано: 23 сент. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Критический

Описание

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Fedora Project
Apache Software Foundation
АО «ИВК»
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Red Hat Software Collections
JBoss Core Services
Astra Linux Special Edition для «Эльбрус»
Fedora
Apache HTTP Server
Альт 8 СП
ОСОН ОСнова Оnyx
РОСА Кобальт
ROSA Virtualization
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
- (Red Hat Software Collections)
- (JBoss Core Services)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
34 (Fedora)
до 2.4.48 включительно (Apache HTTP Server)
35 (Fedora)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.3 (ОСОН ОСнова Оnyx)
7.9 (РОСА Кобальт)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.3
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/r3925e167d5eb1c75def3750c155d753064e1d34a143028bb32910432@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r61fdbfc26ab170f4e6492ef3bd5197c20b862ce156e9d5a54d4b899c@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r82838efc5fa6fc4c73986399c9b71573589f78b31846aff5bd9b1697@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r82c077663f9759c7df5a6656f925b3ee4f55fcd33c889ba7cd687029@%3Cusers.httpd.apache.org%3E
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPBR6WUYBJNACHKE65SPL7TJOHX7RHWD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNCYSR3BXT36FFF4XTCPL3HDQK4VP45R/
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-40438
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8
Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8
Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8
Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2158
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2160
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94432
Критический

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-40438

CVSS3: 9
ubuntu
почти 4 года назад

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.

redhat логотип

CVE-2021-40438

CVSS3: 9
redhat
почти 4 года назад

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.

nvd логотип

CVE-2021-40438

CVSS3: 9
nvd
почти 4 года назад

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.

msrc логотип

CVE-2021-40438

CVSS3: 9
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2021-40438

CVSS3: 9
debian
почти 4 года назад

A crafted request uri-path can cause mod_proxy to forward the request ...

EPSS

Процентиль: 100%
0.94432
Критический

9.8 Critical

CVSS3

7.5 High

CVSS2