Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02389

Опубликовано: 09 янв. 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 4.3
EPSS Средний

Описание

Уязвимость HTTP-сервера nginx связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
Red Hat Inc.
Novell Inc.
Apple Inc.
NGINX Inc.
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Ubuntu
Red Hat Enterprise Linux
OpenSUSE Leap
Red Hat Software Collections
Xcode
nginx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
19.04 (Ubuntu)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
19.10 (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
до 13.0 (Xcode)
до 1.17.7 (nginx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 19.10
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:https://github.com/kubernetes/ingress-nginx/pull/4859
http://nginx.org/en/CHANGES
https://github.com/nginx/nginx/commit/c1be55f97211d38b69ac0c2027e6812ab8b1b94e
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-20372
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2019-20372.xml
Для Ubuntu
https://ubuntu.com/security/CVE-2019-20372
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-20372
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.68429
Средний

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-20372

CVSS3: 5.3
ubuntu
около 6 лет назад

NGINX before 1.17.7, with certain error_page configurations, allows HTTP request smuggling, as demonstrated by the ability of an attacker to read unauthorized web pages in environments where NGINX is being fronted by a load balancer.

redhat логотип

CVE-2019-20372

CVSS3: 5.3
redhat
около 6 лет назад

NGINX before 1.17.7, with certain error_page configurations, allows HTTP request smuggling, as demonstrated by the ability of an attacker to read unauthorized web pages in environments where NGINX is being fronted by a load balancer.

nvd логотип

CVE-2019-20372

CVSS3: 5.3
nvd
около 6 лет назад

NGINX before 1.17.7, with certain error_page configurations, allows HTTP request smuggling, as demonstrated by the ability of an attacker to read unauthorized web pages in environments where NGINX is being fronted by a load balancer.

msrc логотип

CVE-2019-20372

CVSS3: 5.3
msrc
больше 5 лет назад

Описание отсутствует

debian логотип

CVE-2019-20372

CVSS3: 5.3
debian
около 6 лет назад

NGINX before 1.17.7, with certain error_page configurations, allows HT ...

EPSS

Процентиль: 99%
0.68429
Средний

5.3 Medium

CVSS3

4.3 Medium

CVSS2