ГлавнаяБаза уязвимостей БДУ → BDU:2021-04820
7.5критическая

BDU:2021-04820 (CVE-2021-40438)

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2021-09-30
Описание

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Red Hat Software CollectionsJBoss Core ServicesAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (34)HTTP Server (до 2.4.48 включительно)Fedora (35)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.3)РОСА Кобальт (7.9)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/r3925e167d5eb1c75def3750c155d753064e1d34a143028bb32910432@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r61fdbfc26ab170f4e6492ef3bd5197c20b862ce156e9d5a54d4b899c@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r82838efc5fa6fc4c73986399c9b71573589f78b31846aff5bd9b1697@%3Cusers.httpd.apache.org%3E
https://lists.apache.org/thread.html/r82c077663f9759c7df5a6656f925b3ee4f55fcd33c889ba7cd687029@%3Cusers.httpd.apache.org%3E

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPBR6WUYBJNACHKE65SPL7TJOHX7RHWD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNCYSR3BXT36FFF4XTCPL3HDQK4VP45R/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-40438

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17



Для ОСОН Основа:

Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8



Для ОСОН Основа:

Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8



Для ОСОН Основа:

Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2158

Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2160

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://lists.apache.org/thread.html/r3925e167d5eb1c75def3750c155d753064e1d34a143028bb32910432@%3Cusers.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/r61fdbfc26ab170f4e6492ef3bd5197c20b862ce156e9d5a54d4b899c@%3Cusers.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/r82838efc5fa6fc4c73986399c9b71573589f78b31846aff5bd9b1697@%3Cusers.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/r82c077663f9759c7df5a6656f925b3ee4f55fcd33c889ba7cd687029@%3Cusers.httpd.apache.org%3Ehttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPBR6WUYBJNACHKE65SPL7TJOHX7RHWD/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNCYSR3BXT36FFF4XTCPL3HDQK4VP45R/https://nvd.nist.gov/vuln/detail/CVE-2021-40438
Проверьте безопасность своего сайта и почты → Полная проверка домена