ГлавнаяБаза уязвимостей БДУ → BDU:2024-05368
10критическая

BDU:2024-05368 (CVE-2024-40725)

Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к устройству путём подделки запросов от имени сервера
Опубликовано: 2024-07-19
Описание

Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к устройству путём подделки запросов от имени сервера

Затрагиваемое ПО и версии
Альт 8 СПROSA Virtualization (2.1)АЛЬТ СП 10HTTP Server (от 2.4.0 до 2.4.62)ОСОН ОСнова Оnyx (до 2.11.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к внутренним ресурсам;
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию SSRF-атаки.

Использование рекомендаций производителя:
https://lists.apache.org/thread/5hhwb5mom6ptlzyhrxft72191hd0zfvh

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

ОСОН ОСнова Оnyx: Обновление программного обеспечения apache2 до версии 2.4.62-1~deb11u1.osnova19

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2902

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2901

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/5hhwb5mom6ptlzyhrxft72191hd0zfvhhttps://github.com/TAM-K592/CVE-2024-40725-CVE-2024-40898https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11.1/https://abf.rosa.ru/advisories/ROSA-SA-2025-2902https://abf.rosa.ru/advisories/ROSA-SA-2025-2901
Проверьте безопасность своего сайта и почты → Полная проверка домена