ГлавнаяБаза уязвимостей БДУ → BDU:2023-02021
9высокая

BDU:2023-02021 (CVE-2023-27522)

Уязвимость компонента mod_proxy_uwsgi веб-сервера Apache HTTP Server связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов"
Опубликовано: 2023-04-13
Описание

Уязвимость компонента mod_proxy_uwsgi веб-сервера Apache HTTP Server связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку "контрабанда HTTP-запросов"

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15)Debian GNU/Linux (10)JBoss Core ServicesSUSE Linux Enterprise High Performance Computing (12 SP5)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)Ubuntu (20.04)SUSE Linux Enterprise Module for Basesystem (15 SP2)Ubuntu (20.04 LTS)SUSE Linux Enterprise Module for Server Applications (15 SP2)Suse Linux Enterprise Server (15 SP1-BCL)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)SUSE Manager Proxy (4.0)SUSE Manager Retail Branch Server (4.0)SUSE Manager Server (4.0)SUSE Linux Enterprise Module for Basesystem (15 SP3)SUSE Linux Enterprise Module for Server Applications (15 SP3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)Suse Linux Enterprise Desktop (15 SP3)Suse Linux Enterprise Server (15 SP2)
Способ устранения

Использование рекомендаций:
Для веб-сервера Apache HTTP Server:
http://httpd.apache.org/security/vulnerabilities_24.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27522

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-27522

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-27522

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27522.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения apache2 до версии 2.4.57-1osnova15.onyx

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.56-1osnova13.strelets

Для Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2860

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2859

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2851

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://security-tracker.debian.org/tracker/CVE-2023-27522https://ubuntu.com/security/CVE-2023-27522https://access.redhat.com/security/cve/cve-2023-27522https://www.suse.com/security/cve/CVE-2023-27522.htmlhttps://redos.red-soft.ru/support/secure/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена