BDU:2025-08976

Опубликовано: 25 нояб. 2024

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость функции mod_ssl веб-сервера Apache HTTP Server связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

Apache Software Foundation

АО "НППКТ"

ООО «НЦПР»

Наименование ПО

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Red Hat Enterprise Linux

Suse Linux Enterprise Server

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Альт 8 СП

openSUSE Leap Micro

Red Hat JBoss Core Services

SUSE Liberty Linux

HTTP Server

ОСОН ОСнова Оnyx

МСВСфера

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15.5 (OpenSUSE Leap)

8 (Red Hat Enterprise Linux)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP1 (Suse Linux Enterprise Desktop)

11 SP2 (Suse Linux Enterprise Desktop)

11 SP4 (Suse Linux Enterprise Desktop)

11 SP3 (Suse Linux Enterprise Desktop)

15.3 (OpenSUSE Leap)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

5.2 (openSUSE Leap Micro)

5.3 (openSUSE Leap Micro)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

- (Red Hat JBoss Core Services)

5.4 (openSUSE Leap Micro)

5.5 (openSUSE Leap Micro)

9 (SUSE Liberty Linux)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15.6 (OpenSUSE Leap)

1.8 (Astra Linux Special Edition)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP5-LTSS (Suse Linux Enterprise Server)

15 SP7 (Suse Linux Enterprise Desktop)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

10 (Red Hat Enterprise Linux)

от 2.4.35 до 2.4.64 (HTTP Server)

до 2.14 (ОСОН ОСнова Оnyx)

9.5 (МСВСфера)

Тип ПО

Операционная система

Микропрограммный код аппаратных компонент компьютера

Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. OpenSUSE Leap 15.5

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. Suse Linux Enterprise Desktop 11 SP2

Novell Inc. Suse Linux Enterprise Desktop 11 SP4

Novell Inc. Suse Linux Enterprise Desktop 11 SP3

Novell Inc. OpenSUSE Leap 15.3

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Novell Inc. openSUSE Leap Micro 5.2

Novell Inc. openSUSE Leap Micro 5.3

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. openSUSE Leap Micro 5.4

Novell Inc. openSUSE Leap Micro 5.5

Novell Inc. SUSE Liberty Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP7

Novell Inc. Suse Linux Enterprise Server 15 SP7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Red Hat Inc. Red Hat Enterprise Linux 10

АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Apache HTTP Server:

https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-23048

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-23048

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-23048.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:

обновить пакет apache2 до 2.4.62-3astra.se2~7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Обновление программного обеспечения apache2 до версии 2.4.65-1~deb11u1.osnova2u1

Для ОС Astra Linux:

обновить пакет apache2 до 2.4.62-3astra.se2~7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:15023?lang=ru

Для ОС Astra Linux:

обновить пакет apache2 до 2.4.65-3astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-23048
CVE

EPSS

Процентиль: 25%

0.00086

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2025-23048

CVSS3: 9.1

ubuntu

5 месяцев назад

In some mod_ssl configurations on Apache HTTP Server 2.4.35 through to 2.4.63, an access control bypass by trusted clients is possible using TLS 1.3 session resumption. Configurations are affected when mod_ssl is configured for multiple virtual hosts, with each restricted to a different set of trusted client certificates (for example with a different SSLCACertificateFile/Path setting). In such a case, a client trusted to access one virtual host may be able to access another virtual host, if SSLStrictSNIVHostCheck is not enabled in either virtual host.

CVE-2025-23048

CVSS3: 7.5

redhat

5 месяцев назад

CVE-2025-23048

CVSS3: 9.1

nvd

5 месяцев назад

CVE-2025-23048

CVSS3: 9.1

msrc

5 месяцев назад

Apache HTTP Server: mod_ssl access control bypass with session resumption

CVE-2025-23048

CVSS3: 9.1

debian

5 месяцев назад

In some mod_ssl configurations on Apache HTTP Server 2.4.35 through to ...

EPSS

Процентиль: 25%

0.00086

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2