ГлавнаяБаза уязвимостей БДУ → BDU:2022-05209
5.1средняя

BDU:2022-05209 (CVE-2022-2255)

Уязвимость модуля mod_wsgi веб-сервера Apache, связанная с ошибками при обработке заголовока X-Client-IP, позволяющая нарушителю получить несанкционированный доступ к сетевым службам
Опубликовано: 2022-08-22
Описание

Уязвимость модуля mod_wsgi веб-сервера Apache связана с ошибками при обработке заголовока X-Client-IP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к сетевым службам

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Module for Public Cloud (12)SUSE Linux Enterprise Module for Public Cloud (15)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Module for Public Cloud (15 SP1)SUSE OpenStack Cloud (Crowbar 8)Debian GNU/Linux (10)SUSE Enterprise Storage (6)HPE Helion Openstack (8)Red Hat Software CollectionsSUSE OpenStack Cloud (9)SUSE Linux Enterprise Server for SAP Applications (12)SUSE OpenStack Cloud (Crowbar 9)Ubuntu (20.04 LTS)SUSE CaaS Platform (4.0)SUSE Linux Enterprise Module for Public Cloud (15 SP2)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)
Способ устранения

Использование рекомендаций:
Для mod_wsgi:
https://gihub.com/GrahamDumpleton/mod_wsgi/commit/af3c0c2736bc0b0b01fa0f0aad3c904b7fa9c751

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-2255

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-2255.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-2255

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5551-1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения mod-wsgi до версии 4.6.5-1+deb10u1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2363

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5.1 — средняя опасность
Источники и патчи
https://gihub.com/GrahamDumpleton/mod_wsgi/commit/af3c0c2736bc0b0b01fa0f0aad3c904b7fa9c751https://security-tracker.debian.org/tracker/CVE-2022-2255https://www.suse.com/security/cve/CVE-2022-2255.htmlhttps://access.redhat.com/security/cve/cve-2022-2255https://ubuntu.com/security/notices/USN-5551-1https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена