ГлавнаяБаза уязвимостей БДУ → BDU:2017-02153
7.5критическая

BDU:2017-02153 (CVE-2017-3167)

Уязвимость функции ap_get_basic_auth_pw() веб-сервера Apache HTTP Server, позволяющая нарушителю обойти требования аутентификации
Опубликовано: 2017-09-22
Описание

Уязвимость функции ap_get_basic_auth_pw() веб-сервера Apache HTTP Server связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти требования аутентификации при помощи внешних сторонних модулей

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)HTTP Server (от 2.2 до 2.2.33)HTTP Server (от 2.4 до 2.4.26)Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Red Hat Software CollectionsJBoss Core ServicesRed Hat Enterprise Linux (7.3 Extended Update Support)Red Hat Enterprise Linux (6.7 Extended Update Support)Red Hat Enterprise Linux (7.2 Extended Update Support)JBoss Core Services (1)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://lists.apache.org/thread.html/8409e41a8f7dd9ded37141c38df001be930115428c3d64f70bbdb8b4%3Cdev.httpd.apache.org%3E

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-3167

Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-3896

Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://www.securityfocus.com/bid/99135https://lists.apache.org/thread.html/8409e41a8f7dd9ded37141c38df001be930115428c3d64f70bbdb8b4%3Cdev.httpd.apache.org%3Ehttps://access.redhat.com/security/cve/CVE-2017-3167https://www.debian.org/security/2017/dsa-3896http://www.securityfocus.com/bid/99135http://www.securitytracker.com/id/1038711https://abf.rosa.ru/advisories/ROSA-SA-2025-2860https://abf.rosa.ru/advisories/ROSA-SA-2025-2859
Проверьте безопасность своего сайта и почты → Полная проверка домена