Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05368

Опубликовано: 18 июл. 2024
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к устройству путём подделки запросов от имени сервера

Вендор

АО «ИВК»
АО «НТЦ ИТ РОСА»
Apache Software Foundation
АО "НППКТ"

Наименование ПО

Альт 8 СП
ROSA Virtualization
АЛЬТ СП 10
HTTP Server
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0

Версия ПО

- (Альт 8 СП)
2.1 (ROSA Virtualization)
- (АЛЬТ СП 10)
от 2.4.0 до 2.4.62 (HTTP Server)
до 2.11.1 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к внутренним ресурсам;
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию SSRF-атаки.
Использование рекомендаций производителя:
https://lists.apache.org/thread/5hhwb5mom6ptlzyhrxft72191hd0zfvh
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
ОСОН ОСнова Оnyx: Обновление программного обеспечения apache2 до версии 2.4.62-1~deb11u1.osnova19
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2902
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2901

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 57%
0.00347
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240729-17

CVSS3: 10
redos
больше 1 года назад

Уязвимость httpd

ubuntu логотип

CVE-2024-40898

CVSS3: 7.5
ubuntu
больше 1 года назад

SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.

redhat логотип

CVE-2024-40898

CVSS3: 7.5
redhat
больше 1 года назад

SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue. 

nvd логотип

CVE-2024-40898

CVSS3: 7.5
nvd
больше 1 года назад

SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue. 

msrc логотип

CVE-2024-40898

CVSS3: 7.5
msrc
больше 1 года назад

Описание отсутствует

EPSS

Процентиль: 57%
0.00347
Низкий

10 Critical

CVSS3

10 Critical

CVSS2