ГлавнаяБаза уязвимостей БДУ → BDU:2024-03101
4средняя

BDU:2024-03101 (CVE-2023-38709)

Уязвимость веб-сервера Apache HTTP Server, связанная с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках, позволяющая нарушителю выполнять атаки с разделением ответов HTTP
Опубликовано: 2024-04-19
Описание

Уязвимость веб-сервера Apache HTTP Server связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаки с разделением ответов HTTP

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (10)SUSE Linux Enterprise High Performance Computing (12 SP5)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПSUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Enterprise Storage (7.1)Astra Linux Special Edition (4.7)SUSE Linux Enterprise Real Time (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)ROSA Virtualization (2.1)Ubuntu (18.04 ESM)SUSE Linux Enterprise Module for Server Applications (15 SP5)SUSE Linux Enterprise Module for Package Hub (15 SP5)
Способ устранения

Использование рекомендаций:
https://httpd.apache.org/security/vulnerabilities_24.html

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-38709

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-38709

Для продуктов Novel Inc.:
https://www.suse.com/security/cve/CVE-2023-38709.html



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства



Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/



Для ОС Astra Linux:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОСОН Основа Onyx:
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11.1/

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет apache2 до 2.4.46-1~bpo9+1astra.se12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет apache2 до 2.4.57-2+astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2804

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2851

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2023-38709https://security-tracker.debian.org/tracker/CVE-2023-38709https://security-tracker.debian.org/tracker/CVE-2023-38709https://www.ibm.com/support/pages/node/7147925https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://github.com/mrmtwoj/apache-vulnerability-testing
Проверьте безопасность своего сайта и почты → Полная проверка домена