ГлавнаяБаза уязвимостей БДУ → BDU:2021-04903
9.3высокая

BDU:2021-04903 (CVE-2021-41773)

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой системе
Опубликовано: 2021-10-06
Описание

Уязвимость веб-сервера Apache HTTP Server связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или прочитать произвольные файлы в целевой системе

Затрагиваемое ПО и версии
Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Debian GNU/Linux (10)Cloud BackupopenSUSE TumbleweedFedora (34)Debian GNU/Linux (11)Fedora (35)HTTP Server (2.4.49)Альт 8 СПОСОН ОСнова Оnyx (до 2.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread/qk6102yfqskdcx5yvjxw9rwhqkdtxjbt

Для ОСОН Основа:
Обновление программного обеспечения apache2 до версии 2.4.51-1~deb11u1.osnova8

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-41773

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20211029-0009/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RMIIEFINL6FUIOPD2A3M5XC6DH45Y3CC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WS5RVHOIIRECG65ZBTZY7IEJVWQSQPG3/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-41773.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://github.com/pld-linux/apache/commit/9ff0bac043c0d5cb3517e7f7ef15a723549dd087https://xakep.ru/2021/10/05/apache-path-traversal/https://www.anti-malware.ru/news/2021-10-06-111332/37129https://xakep.ru/2021/10/07/apache-rce/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/https://security-tracker.debian.org/tracker/CVE-2021-41773https://security.netapp.com/advisory/ntap-20211029-0009/
Проверьте безопасность своего сайта и почты → Полная проверка домена