Описание
Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку
Вендор
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
NetApp Inc.
Apache Software Foundation
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
Red Hat Enterprise Linux
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
JBoss Core Services
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Альт 8 СП
ONTAP
АЛЬТ СП 10
Suse Linux Enterprise Desktop
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Module for Package Hub
OpenSUSE Leap
SUSE Linux Enterprise Module for Server Applications
Apache HTTP Server
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
- (JBoss Core Services)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
9 (ONTAP)
- (АЛЬТ СП 10)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15 SP6 (SUSE Linux Enterprise Module for Basesystem)
15 SP6 (SUSE Linux Enterprise Module for Package Hub)
15.6 (OpenSUSE Leap)
15 SP6 (SUSE Linux Enterprise Module for Server Applications)
от 2.4.0 до 2.4.60 (Apache HTTP Server)
1.8 (Astra Linux Special Edition)
до 2.11.1 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
NetApp Inc. ONTAP 9
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11.1
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache Software Foundation:
https://httpd.apache.org/security/vulnerabilities_24.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-39573
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-39573
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-39573.html
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20240712-0001/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
ОСОН ОСнова Оnyx: Обновление программного обеспечения apache2 до версии 2.4.62-1~deb11u1.osnova19
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 64%
0.00483
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
12 месяцев назад
Potential SSRF in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to cause unsafe RewriteRules to unexpectedly setup URL's to be handled by mod_proxy. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.4
redhat
12 месяцев назад
Potential SSRF in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to cause unsafe RewriteRules to unexpectedly setup URL's to be handled by mod_proxy. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.5
nvd
12 месяцев назад
Potential SSRF in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to cause unsafe RewriteRules to unexpectedly setup URL's to be handled by mod_proxy. Users are recommended to upgrade to version 2.4.60, which fixes this issue.
CVSS3: 7.5
debian
12 месяцев назад
Potential SSRF in mod_rewrite in Apache HTTP Server 2.4.59 and earlier ...
EPSS
Процентиль: 64%
0.00483
Низкий
7.5 High
CVSS3
7.8 High
CVSS2