ГлавнаяБаза уязвимостей БДУ → BDU:2023-00496
5средняя

BDU:2023-00496 (CVE-2022-37436)

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю выполнять атаки с разделением ответов HTTP
Опубликовано: 2023-01-31
Описание

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаки с разделением ответов HTTP

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE OpenStack Cloud (Crowbar 8)Red Hat Software CollectionsSUSE OpenStack Cloud (9)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)openSUSE TumbleweedSuse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)HTTP Server (до 2.4.55)ОСОН ОСнова Оnyx (до 2.7)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 20.10.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-37436

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-37436.html



Для ОСОН ОСнова Оnyx (версия 2.7):

Обновление программного обеспечения apache2 до версии 2.4.55-1osnova12.onyx



Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства



Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD



Для Astra Linux Special Edition для архитектуры ARM для 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2161

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.56-1osnova13.strelets

Для Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-37436https://nvd.nist.gov/vuln/detail/CVE-2022-37436https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://www.openwall.com/lists/oss-security/2023/01/17/7https://www.suse.com/security/cve/CVE-2022-37436.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена