Обновления безопасности
Назад к п.2
2.1356 Множественные уязвимости Apache HTTP (CVE-2022-26377, CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813)
| Идентификатор бюллетеня | ROS-20220628-01 |
| Идентификатор CVE | CVE-2022-26377 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с неправильной проверкой HTTP-запросов в mod_proxy_ajp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на сервер и перенаправить запросы на сервер AJP, на который он перенаправляет запросы |
| Идентификатор CVE | CVE-2022-28330 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:H |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с граничными условиями в модуле mod_isapi. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на сервер, вызвать ошибку чтения за пределами границ и прочитать содержимое памяти в системе или выполнить атаку типа «отказ в обслуживании» (DoS) |
| Идентификатор CVE | CVE-2022-28614 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с граничными условиями в функции ap_rwrite(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить сервер отразить очень большой ввод с помощью ap_rwrite() или ap_rputs() (например, с помощью функции mod_luas r:puts()), что может вызвать ошибку чтения за пределами границ и прочитать память за выделенными границами |
| Идентификатор CVE | CVE-2022-28615 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с граничными условиями в функции ap_strcmp_match() при обработке чрезвычайно большого входного буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос на веб-сервер, вызвать ошибку чтения за пределами границ и прочитать содержимое памяти в системе |
| Идентификатор CVE | CVE-2022-29404 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:N/I:N/A:С |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с недостаточной проверкой введенных пользователем данных при обработке HTTP-запросов к сценарию lua, который вызывает r:parsebody(0). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить очень большой HTTP-запрос на уязвимый веб-сервер и выполнить атаку типа «отказ в обслуживании» (DoS) |
| Идентификатор CVE | CVE-2022-30522 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:N/I:N/A:С |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с тем что функция mod_sed не контролирует должным образом потребление внутренних ресурсов, если веб-сервер настроен на выполнение преобразований с помощью mod_sed в контекстах, где входные данные для mod_sed могут быть очень большими. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов и выполнить атаку типа «отказ в обслуживании» (DoS) |
| Идентификатор CVE | CVE-2022-30556 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:С/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с граничными условиями при обработке HTTP-запросов в mod_lua с веб-сокетами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить модуль возвращать приложениям, вызывающим r:wsread(), длину, которая указывает на конец памяти, выделенной для буфера, и получить доступ к конфиденциальной информации |
| Идентификатор CVE | CVE-2022-31813 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| Описание уязвимости | Уязвимость веб-сервера Apache HTTP связана с ошибкой в реализации mod_proxy, из-за которой веб-сервер может не отправлять заголовки X-Forwarded-* на исходный сервер на основе механизма пошаговой передачи заголовка соединения на стороне клиента. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию на основе IP-адреса на исходном сервере/приложении и получить доступ к ограниченным функциям |
| Наименование уязвимого пакета: | httpd |
| Версия уязвимого пакета младше: | 2.4.54-1 |
| Пакет обновления: | httpd-0:2.4.54-1.el7.3.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 28.06.2022 |
Дата последнего изменения: 28.06.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.