ГлавнаяБаза уязвимостей БДУ → BDU:2022-05817
7.5высокая

BDU:2022-05817 (CVE-2022-31081)

Уязвимость демона HTTP-сервера HTTP Daemon, связанная с непоследовательной интерпритацией HTTP-запросов, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2022-09-21
Описание

Уязвимость демона HTTP-сервера HTTP Daemon связана с непоследовательной интерпритацией HTTP-запросов при обработке значений строки 'Content-Length'. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданных скрытых HTTP-запросов (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)openSUSE TumbleweedUbuntu (20.04 LTS)SUSE Linux Enterprise Module for Basesystem (15 SP3)Ubuntu (16.04 ESM)OpenSUSE Leap (15.3)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)Альт 8 СПSuse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)Ubuntu (22.04 LTS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Enterprise Storage (7.1)SUSE Linux Enterprise Module for Basesystem (15 SP4)HTTP Daemon (до 6.15)
Способ устранения

Использование рекомендаций:
Для HTTP Daemon:
https://github.com/libwww-perl/HTTP-Daemon/commit/8dc5269d59e2d5d9eb1647d82c449ccd880f7fd0
https://github.com/libwww-perl/HTTP-Daemon/commit/e84475de51d6fd7b29354a997413472a99db70b2
https://github.com/libwww-perl/HTTP-Daemon/security/advisories/GHSA-cg8c-pxmv-w7cf

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-31081.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5520-1
https://ubuntu.com/security/notices/USN-5520-2

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libhttp-daemon-perl до версии 6.14-2

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
http://metacpan.org/release/HTTP-Daemon/https://cwe.mitre.org/data/definitions/444.htmlhttps://datatracker.ietf.org/doc/html/rfc7230#section-9.5https://github.com/libwww-perl/HTTP-Daemon/commit/8dc5269d59e2d5d9eb1647d82c449ccd880f7fd0https://github.com/libwww-perl/HTTP-Daemon/commit/e84475de51d6fd7b29354a997413472a99db70b2https://github.com/libwww-perl/HTTP-Daemon/security/advisories/GHSA-cg8c-pxmv-w7cfhttps://portswigger.net/research/http-desync-attacks-request-smuggling-rebornhttps://nvd.nist.gov/vuln/detail/CVE-2022-31081
Проверьте безопасность своего сайта и почты → Полная проверка домена