ГлавнаяБаза уязвимостей БДУ → BDU:2023-01738
10критическая

BDU:2023-01738 (CVE-2023-25690)

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2023-03-30
Описание

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server связана с недостатками обработки заголовка Transfer-Encoding. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE Linux Enterprise Module for Server Applications (15)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE OpenStack Cloud (Crowbar 8)HPE Helion Openstack (8)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)SUSE Linux Enterprise Software Development Kit (12 SP2)JBoss Core Services
Способ устранения

Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-25690

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-25690.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2158

Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155



Для ОС Astra Linux Special Edition 1.7:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2161

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения apache2 до версии 2.4.57-1osnova15.onyx

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.56-1osnova13.strelets

Для Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://access.redhat.com/security/cve/cve-2023-25690https://www.suse.com/security/cve/CVE-2023-25690.htmlhttps://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2158https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена