6.4средняя
BDU:2024-08705 (CVE-2014-3577)
Уязвимость клиентского модуля Apache HttpClient средства Apache HttpComponents, позволяющая нарушителю подменить SSL-серверы
Опубликовано: 2024-10-29
Описание
Уязвимость клиентского модуля Apache HttpClient средства Apache HttpComponents связана с неправильным подтверждением подлинности сертификата SSL/TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подменить SSL-серверы путем изменения содержимого в поле distincted name (DN)
Затрагиваемое ПО и версии
Red Hat Enterprise Virtualization (3)Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (12.04)Ubuntu (15.04)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE OpenStack Cloud (7)Red Hat Virtualization (4)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-ESPOS)OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Ubuntu (14.04 ESM)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE OpenStack Cloud Crowbar (8)Red Hat Satellite (5.0)Red Hat Satellite (6.0)Jboss Operations Network (3.3)SUSE Enterprise Storage (6)
Способ устранения
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://issues.apache.org/jira/browse/DRILL-7416
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2014-3577
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2014-3577
Для Ubuntu:
https://ubuntu.com/security/notices/USN-2769-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2014-3577.html
Для IBM Storwize V5000:
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Оценка CVSS
| Балл | 6.4 — средняя опасность |
Источники и патчи