ГлавнаяБаза уязвимостей БДУ → BDU:2019-01564
7.8высокая

BDU:2019-01564 (CVE-2018-17199)

Уязвимость модуля mod_session веб-сервера Apache HTTP Server, связанная с отсутствием учета времени жизни сеанса, позволяющая нарушителю оказать воздействие на целостность защищаемых данных
Опубликовано: 2019-04-25
Описание

Уязвимость модуля mod_session веб-сервера Apache HTTP Server связана с отсутствием проверки времени жизни сеанса перед его декодированием. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемых данных

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Enterprise Manager Ops Center (12.3.3)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)HTTP Server (от 2.4.0 до 2.4.37 включительно)Retail Xstore Point of Service (7.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Debian GNU/Linux (8)Retail Xstore Point of Service (7.1)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache:
Обновление программного обеспечения до 2.4.38-2 или более поздней версии

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u7 или более поздней версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Для Ubuntu:
https://usn.ubuntu.com/3937-1/

Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.25-astrase19.0.7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2018-17199https://security-tracker.debian.org/tracker/CVE-2018-17199https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://abf.rosa.ru/advisories/ROSA-SA-2025-2900https://abf.rosa.ru/advisories/ROSA-SA-2025-2899
Проверьте безопасность своего сайта и почты → Полная проверка домена