ГлавнаяБаза уязвимостей БДУ → BDU:2020-05766
6.4средняя

BDU:2020-05766 (CVE-2019-13038)

Уязвимость функции apr_uri_parse() модуля аутентификации mod_auth_mellon сервера Apache HTTP Server, позволяющая нарушителю перенаправить пользователя на вредоносный сайт
Опубликовано: 2020-12-22
Описание

Уязвимость функции apr_uri_parse() модуля аутентификации mod_auth_mellon сервера Apache HTTP Server связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на вредоносный сайт с помощью параметра login?ReturnTo=

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)HTTP Server (до 0.14.2)Red Hat Enterprise Linux (8)Fedora (30)Fedora (31)Ubuntu (19.10)
Способ устранения

Использование рекомендаций:
https://github.com/Uninett/mod_auth_mellon/issues/35#issuecomment-503974885

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A5E3JVHURJJNDP63CKVX5O5MJAGCQV4K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XU5GVFZW3C2M4ZBL4F7UP7N24FNUCX4E/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4291-1

Для продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2019-13038

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13038.html?_ga=2.55464875.1010625801.1582602952-1733711738.1578988174https://github.com/Uninett/mod_auth_mellon/issues/35#issuecomment-503974885https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A5E3JVHURJJNDP63CKVX5O5MJAGCQV4K/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XU5GVFZW3C2M4ZBL4F7UP7N24FNUCX4E/https://ubuntu.com/security/notices/USN-4291-1https://access.redhat.com/security/cve/cve-2019-13038
Проверьте безопасность своего сайта и почты → Полная проверка домена