BDU:2025-08695

Опубликовано: 04 июн. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции mod_proxy_http2 веб-сервера Apache HTTP Server связана с использованием функции assert() или похожего оператора. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Novell Inc.

Apache Software Foundation

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Red Hat JBoss Core Services

SUSE Liberty Linux

Suse Linux Enterprise Desktop

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Apache HTTP Server

Версия ПО

8 (Red Hat Enterprise Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

9 (Red Hat Enterprise Linux)

- (Red Hat JBoss Core Services)

9 (SUSE Liberty Linux)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15.6 (OpenSUSE Leap)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

10 (Red Hat Enterprise Linux)

от 2.4.26 до 2.4.63 включительно (Apache HTTP Server)

Тип ПО

Операционная система

Микропрограммный код аппаратных компонент компьютера

Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. SUSE Liberty Linux 9

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Apache HTTP Server:

https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-49630

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-49630

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-49630.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-49630
CVE

EPSS

Процентиль: 48%

0.00249

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2025-49630

CVSS3: 7.5

ubuntu

около 1 месяца назад

In certain proxy configurations, a denial of service attack against Apache HTTP Server versions 2.4.26 through to 2.4.63 can be triggered by untrusted clients causing an assertion in mod_proxy_http2. Configurations affected are a reverse proxy is configured for an HTTP/2 backend, with ProxyPreserveHost set to "on".

CVE-2025-49630

CVSS3: 7.5

redhat

27 дней назад

CVE-2025-49630

CVSS3: 7.5

nvd

около 1 месяца назад

CVE-2025-49630

CVSS3: 7.5

msrc

24 дня назад

Описание отсутствует

CVE-2025-49630

CVSS3: 7.5

debian

около 1 месяца назад

In certain proxy configurations, a denial of service attack againstApa ...

EPSS

Процентиль: 48%

0.00249

Низкий

7.5 High

CVSS3

7.8 High

CVSS2