ГлавнаяБаза уязвимостей БДУ → BDU:2023-00495
10критическая

BDU:2023-00495 (CVE-2022-36760)

Уязвимость модуля mod_proxy_ajp веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2023-01-31
Описание

Уязвимость модуля mod_proxy_ajp веб-сервера Apache HTTP Server связана с недостатками обработки заголовка Transfer-Encoding. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Red Hat Software CollectionsSUSE OpenStack Cloud (9)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)openSUSE TumbleweedSUSE OpenStack Cloud (Crowbar 9)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)HTTP Server (от 2.4.0 до 2.4.55)ОСОН ОСнова Оnyx (до 2.7)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 20.10.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2022-36760

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-36760

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-36760.html



Для ОСОН ОСнова Оnyx (версия 2.7):

Обновление программного обеспечения apache2 до версии 2.4.55-1osnova12.onyx



Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства



Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD



Для Astra Linux Special Edition для архитектуры ARM для 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2161

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.56-1osnova13.strelets

Для Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-36760https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://access.redhat.com/security/cve/cve-2022-36760https://www.openwall.com/lists/oss-security/2023/01/17/6https://www.suse.com/security/cve/CVE-2022-36760.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена