ГлавнаяБаза уязвимостей БДУ → BDU:2018-00103
5средняя

BDU:2018-00103 (CVE-2017-9798)

Уязвимость функции ap_limit_section httpd-демона веб-сервера Apache HTTP Server, позволяющая нарушителю получить доступ к данным из памяти процесса
Опубликовано: 2018-01-24
Описание

Уязвимость функции ap_limit_section httpd-демона веб-сервера Apache HTTP Server связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к данным из памяти процесса с помощью специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Ubuntu (12.04)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (17.04)Debian GNU/Linux (9)HTTP Server (до 2.2.34 включительно)HTTP Server (от 2.4 до 2.4.27 включительно)Debian GNU/Linux (до 2.4.10-10+deb8u11 (jissie))Debian GNU/Linux (до 2.4.25-3+deb9u3 (stretch))Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Ubuntu (14.04 ESM)Debian GNU/Linux (8)JBoss Enterprise Application Platform (6.4)Debian GNU/Linux (10)Red Hat Software CollectionsJBoss Core ServicesRed Hat Enterprise Linux (7.3 Extended Update Support)Red Hat Enterprise Linux (6.7 Extended Update Support)Red Hat Enterprise Linux (7.2 Extended Update Support)Red Hat JBoss Enterprise Web Server (2)Red Hat JBoss Enterprise Web Server (3)JBoss Core Services (1)Jboss Web Server (2.1)JBoss Enterprise Application Platform (6.4 for RHEL 6)HTTP Server (от 2.4.0 до 2.4.27 включительно)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2017-9798

Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-9798

Для Ubuntu:
https://ubuntu.com/security/notices/USN-3425-1
https://ubuntu.com/security/notices/USN-3425-2

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://openwall.com/lists/oss-security/2017/09/18/2http://www.debian.org/security/2017/dsa-3980http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.htmlhttp://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.htmlhttp://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.htmlhttp://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.htmlhttp://www.securityfocus.com/bid/100872http://www.securitytracker.com/id/1039387
Проверьте безопасность своего сайта и почты → Полная проверка домена