ГлавнаяБаза уязвимостей БДУ → BDU:2025-15638
5.5средняя

BDU:2025-15638 (CVE-2025-66200)

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
Опубликовано: 2025-12-12
Описание

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Red Hat JBoss Core ServicesАЛЬТ СП 10Red Hat JBoss Core Services (RHEL 8)Red Hat JBoss Core Services (RHEL 7)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Fedora (42)Red Hat Enterprise Linux (10)Debian GNU/Linux (13)Fedora (43)Ubuntu (25.10)HTTP Server (от 2.4.7 до 2.4.65 включительно)РЕД ОС (8.0)Astra Linux Special Edition (3.8)Platform V SberLinux OS Server (9.2.0-fstec)Red Hat JBoss Core Services (2.4.62.SP3)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Apache HTTP Server:

Обновление программного обеспечения до версии 2.4.66 и выше:

https://httpd.apache.org/security/vulnerabilities_24.html

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет apache2 до 2.4.65-3astra.se4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:
обновить пакет apache2 до 2.4.65-3astra.se4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-66200

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-66200

Для Ubuntu:
https://ubuntu.com/security/CVE-2025-66200

Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-66200

Для Platform V SberLinux OS Server:
Обновление операционной системы до версии 9.2.2-fstec

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://www.openwall.com/lists/oss-security/2025/12/04/8https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-66200https://ubuntu.com/security/CVE-2025-66200
Проверьте безопасность своего сайта и почты → Полная проверка домена