ГлавнаяБаза уязвимостей БДУ → BDU:2019-04407
5средняя

BDU:2019-04407 (CVE-2019-0220)

Уязвимость модуля RewriteRule веб-сервера Apache, связанная с использованием имени с неправильной ссылкой, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2019-12-03
Описание

Уязвимость модуля RewriteRule веб-сервера Apache связана с неверной обработкой запроса, который содержит несколько косых черт ("/"). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Fedora (28)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)HTTP Server (от 2.4.0 до 2.4.39)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для веб-сервера Apache HTTP:
https://httpd.apache.org/security/vulnerabilities_24.html

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для Ubuntu:
https://usn.ubuntu.com/3937-1/

Для OpenSUSE Leap:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00051.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00061.html
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00084.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ALIR5S3O7NRHEGFMIDMUSYQIZOE4TJJN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZRMTEIGZKYFNGIDOTXN3GNEJTLVCYU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WETXNQWNQLWHV6XNW6YTO5UGDTIWAQGT/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-0220

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00051.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00061.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-04/msg00084.htmlhttpd.apache.org/security/vulnerabilities_24.htmlhttps://https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ALIR5S3O7NRHEGFMIDMUSYQIZOE4TJJN/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZRMTEIGZKYFNGIDOTXN3GNEJTLVCYU7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WETXNQWNQLWHV6XNW6YTO5UGDTIWAQGT/
Проверьте безопасность своего сайта и почты → Полная проверка домена