ГлавнаяБаза уязвимостей БДУ → BDU:2020-05176
10критическая

BDU:2020-05176 (CVE-2020-11984)

Уязвимость модуля mod_proxy_uwsgi веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2020-11-17
Описание

Уязвимость модуля mod_proxy_uwsgi веб-сервера Apache HTTP Server связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (10)Fedora (31)Red Hat Software CollectionsFedora (32)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Oracle Communications Element Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Report Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Route Manager (от 8.2.0 до 8.2.2 включительно)HTTP Server (от 2.4.32 до 2.4.44 включительно)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11984

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11984

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11984/

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-11984

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RN46PRBJE7E7OPD4YZX5SVWV5QKGV5/

Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.38-3+deb10u4 или более поздней версии

Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://access.redhat.com/security/cve/cve-2020-11984https://security-tracker.debian.org/tracker/CVE-2020-11984https://www.suse.com/security/cve/CVE-2020-11984/https://ubuntu.com/security/CVE-2020-11984https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RN46PRBJE7E7OPD4YZX5SVWV5QKGV5/https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://abf.rosalinux.ru/advisories/ROSA-SA-2023-2159
Проверьте безопасность своего сайта и почты → Полная проверка домена