Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05194

Опубликовано: 27 мая 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость протокола WebSocket веб-сервера Apache HTTP Server связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Apache Software Foundation
АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed
Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
АЛЬТ СП 10
Apache HTTP Server
ОСОН ОСнова Оnyx

Версия ПО

- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
- (АЛЬТ СП 10)
23.10 (Ubuntu)
24.04 LTS (Ubuntu)
от 2.4.55 до 2.4.59 включительно (Apache HTTP Server)
1.8 (Astra Linux Special Edition)
до 2.11.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 23.10
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
https://github.com/apache/httpd/commit/c69a51bff8157e403121f8436d85dde21ad28bd2
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6885-1
https://ubuntu.com/security/CVE-2024-36387
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-36387.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-36387
Для ОС Astra Linux:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
ОСОН ОСнова Оnyx: Обновление программного обеспечения apache2 до версии 2.4.62-1~deb11u1.osnova19
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-httpd-cve-2024-38477-cve-2024-36387/?sphrase_id=644522
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00282
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250117-03

CVSS3: 7.5
redos
5 месяцев назад

Множественные уязвимости httpd

ubuntu логотип

CVE-2024-36387

CVSS3: 5.4
ubuntu
12 месяцев назад

Serving WebSocket protocol upgrades over a HTTP/2 connection could result in a Null Pointer dereference, leading to a crash of the server process, degrading performance.

redhat логотип

CVE-2024-36387

CVSS3: 3.7
redhat
12 месяцев назад

Serving WebSocket protocol upgrades over a HTTP/2 connection could result in a Null Pointer dereference, leading to a crash of the server process, degrading performance.

nvd логотип

CVE-2024-36387

CVSS3: 5.4
nvd
12 месяцев назад

Serving WebSocket protocol upgrades over a HTTP/2 connection could result in a Null Pointer dereference, leading to a crash of the server process, degrading performance.

msrc логотип

CVE-2024-36387

CVSS3: 5.4
msrc
7 месяцев назад

Описание отсутствует

EPSS

Процентиль: 51%
0.00282
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2