5средняя
BDU:2018-00103 (CVE-2017-9798)
Уязвимость функции ap_limit_section httpd-демона веб-сервера Apache HTTP Server, позволяющая нарушителю получить доступ к данным из памяти процесса
Опубликовано: 2018-01-24
Описание
Уязвимость функции ap_limit_section httpd-демона веб-сервера Apache HTTP Server связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к данным из памяти процесса с помощью специально сформированного HTTP-запроса
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Ubuntu (12.04)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (17.04)Debian GNU/Linux (9)HTTP Server (до 2.2.34 включительно)HTTP Server (от 2.4 до 2.4.27 включительно)Debian GNU/Linux (до 2.4.10-10+deb8u11 (jissie))Debian GNU/Linux (до 2.4.25-3+deb9u3 (stretch))Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Ubuntu (14.04 ESM)Debian GNU/Linux (8)JBoss Enterprise Application Platform (6.4)Debian GNU/Linux (10)Red Hat Software CollectionsJBoss Core ServicesRed Hat Enterprise Linux (7.3 Extended Update Support)Red Hat Enterprise Linux (6.7 Extended Update Support)Red Hat Enterprise Linux (7.2 Extended Update Support)Red Hat JBoss Enterprise Web Server (2)Red Hat JBoss Enterprise Web Server (3)JBoss Core Services (1)Jboss Web Server (2.1)JBoss Enterprise Application Platform (6.4 for RHEL 6)HTTP Server (от 2.4.0 до 2.4.27 включительно)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения
Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2017-9798
Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-9798
Для Ubuntu:
https://ubuntu.com/security/notices/USN-3425-1
https://ubuntu.com/security/notices/USN-3425-2
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859
Оценка CVSS
| Балл | 5 — средняя опасность |
Источники и патчи