BDU:2025-08958

Опубликовано: 18 сент. 2024

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции mod_ssl веб-сервера Apache HTTP Server связана с неприятием мер по нейтрализации специальных управляющих элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации

Вендор

Red Hat Inc.

Novell Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

Apache Software Foundation

Наименование ПО

Red Hat Enterprise Linux

Suse Linux Enterprise Desktop

Suse Linux Enterprise Server

Debian GNU/Linux

Альт 8 СП

Red Hat JBoss Core Services

SUSE Liberty Linux

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Apache HTTP Server

Версия ПО

7 (Red Hat Enterprise Linux)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 SP2 LTSS (Suse Linux Enterprise Server)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

15-LTSS (Suse Linux Enterprise Server)

12 SP4 LTSS (Suse Linux Enterprise Server)

12 SP4-ESPOS (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

15 SP2 LTSS (Suse Linux Enterprise Server)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (Suse Linux Enterprise Server)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP2-BCL (Suse Linux Enterprise Server)

9 (Red Hat Enterprise Linux)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-BCL (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

- (Red Hat JBoss Core Services)

9 (SUSE Liberty Linux)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15.6 (OpenSUSE Leap)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP5-LTSS (Suse Linux Enterprise Server)

15 SP7 (Suse Linux Enterprise Desktop)

15 SP7 (Suse Linux Enterprise Server)

10 (Red Hat Enterprise Linux)

от 2.4.0 до 2.4.64 (Apache HTTP Server)

Тип ПО

Операционная система

Микропрограммный код аппаратных компонент компьютера

Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. SUSE Liberty Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP7

Novell Inc. Suse Linux Enterprise Server 15 SP7

Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Apache HTTP Server:

https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-47252

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-47252

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2024-47252.html

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-47252
CVE

EPSS

Процентиль: 28%

0.001

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2024-47252

CVSS3: 7.5

ubuntu

около 1 месяца назад

Insufficient escaping of user-supplied data in mod_ssl in Apache HTTP Server 2.4.63 and earlier allows an untrusted SSL/TLS client to insert escape characters into log files in some configurations. In a logging configuration where CustomLog is used with "%{varname}x" or "%{varname}c" to log variables provided by mod_ssl such as SSL_TLS_SNI, no escaping is performed by either mod_log_config or mod_ssl and unsanitized data provided by the client may appear in log files.

CVE-2024-47252

CVSS3: 7.5

redhat

около 1 месяца назад

CVE-2024-47252

CVSS3: 7.5

nvd

около 1 месяца назад

CVE-2024-47252

CVSS3: 7.5

msrc

около 1 месяца назад

Описание отсутствует

CVE-2024-47252

CVSS3: 7.5

debian

около 1 месяца назад

Insufficient escaping of user-supplied data in mod_ssl in Apache HTTP ...

EPSS

Процентиль: 28%

0.001

Низкий

7.5 High

CVSS3

7.8 High

CVSS2