Описание
Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с некорректной записью нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного запроса
Вендор
ООО «РусБИТех-Астра»
Novell Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Apache Software Foundation
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
openSUSE Tumbleweed
Ubuntu
Debian GNU/Linux
РЕД ОС
Альт 8 СП
РОСА Кобальт
АЛЬТ СП 10
Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Module for Package Hub
OpenSUSE Leap
SUSE Linux Enterprise Module for Server Applications
Apache HTTP Server
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
- (АЛЬТ СП 10)
23.10 (Ubuntu)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15 SP6 (SUSE Linux Enterprise Module for Basesystem)
15 SP6 (SUSE Linux Enterprise Module for Package Hub)
24.04 LTS (Ubuntu)
15.6 (OpenSUSE Leap)
15 SP6 (SUSE Linux Enterprise Module for Server Applications)
от 2.4.0 до 2.4.59 включительно (Apache HTTP Server)
1.8 (Astra Linux Special Edition)
до 2.11.1 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 23.10
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Canonical Ltd. Ubuntu 24.04 LTS
Novell Inc. OpenSUSE Leap 15.6
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11.1
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://httpd.apache.org/security/vulnerabilities_24.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6885-1
https://ubuntu.com/security/CVE-2024-38477
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-38477.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-38477
Для ОС Astra Linux:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
ОСОН ОСнова Оnyx: Обновление программного обеспечения apache2 до версии 2.4.62-1~deb11u1.osnova19
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-httpd-cve-2024-38477-cve-2024-36387/?sphrase_id=644522
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2515
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2515
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 80%
0.01465
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
12 месяцев назад
null pointer dereference in mod_proxy in Apache HTTP Server 2.4.59 and earlier allows an attacker to crash the server via a malicious request. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.5
redhat
12 месяцев назад
null pointer dereference in mod_proxy in Apache HTTP Server 2.4.59 and earlier allows an attacker to crash the server via a malicious request. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.5
nvd
12 месяцев назад
null pointer dereference in mod_proxy in Apache HTTP Server 2.4.59 and earlier allows an attacker to crash the server via a malicious request. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.5
debian
12 месяцев назад
null pointer dereference in mod_proxy in Apache HTTP Server 2.4.59 and ...
EPSS
Процентиль: 80%
0.01465
Низкий
7.5 High
CVSS3
7.8 High
CVSS2