ROS-20220628-01

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с неправильной проверкой HTTP-запросов в mod_proxy_ajp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на сервер и перенаправить запросы на сервер AJP, на который он перенаправляет запросы

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с граничными условиями в модуле mod_isapi. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на сервер, вызвать ошибку чтения за пределами границ и прочитать содержимое памяти в системе или выполнить атаку типа «отказ в обслуживании» (DoS)

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с граничными условиями в функции ap_rwrite(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить сервер отразить очень большой ввод с помощью ap_rwrite() или ap_rputs() (например, с помощью функции mod_luas r:puts()), что может вызвать ошибку чтения за пределами границ и прочитать память за выделенными границами

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с граничными условиями в функции ap_strcmp_match() при обработке чрезвычайно большого входного буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на веб-сервер, вызвать ошибку чтения за пределами границ и прочитать содержимое памяти в системе

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с недостаточной проверкой введенных пользователем данных при обработке HTTP-запросов к сценарию lua, который вызывает r:parsebody(0). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить очень большой HTTP-запрос на уязвимый веб-сервер и выполнить атаку типа «отказ в обслуживании» (DoS)

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с тем что функция mod_sed не контролирует должным образом потребление внутренних ресурсов, если веб-сервер настроен на выполнение преобразований с помощью mod_sed в контекстах, где входные данные для mod_sed могут быть очень большими. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов и выполнить атаку типа «отказ в обслуживании» (DoS)

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с граничными условиями при обработке HTTP-запросов в mod_lua с веб-сокетами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить модуль возвращать приложениям, вызывающим r:wsread(), длину, которая указывает на конец памяти, выделенной для буфера, и получить доступ к конфиденциальной информации

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP связана с ошибкой в реализации mod_proxy, из-за которой веб-сервер может не отправлять заголовки X-Forwarded-* на исходный сервер на основе механизма пошаговой передачи заголовка соединения на стороне клиента. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию на основе IP-адреса на исходном сервере/приложении и получить доступ к ограниченным функциям