Уязвимость BDU:2019-03106

Идентификатор: BDU:2019-03106.

Наименование уязвимости: Уязвимость модуля mod_ssl веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость модуля mod_ssl веб-сервера Apache HTTP Server существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально сформированного запроса на повторное согласование параметров TLS-соединения
Уязвимое ПО: Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.3.3 | Сетевое программное средство Apache Software Foundation Apache HTTP Server 2.4.37 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 7.0 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.1 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.2 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.3 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre1 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre2 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre3 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre4 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre5 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre6 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre7 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre8 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1 Pre9 | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1a | Программное средство защиты OpenSSL Software Foundation OpenSSL 1.1.1b | Прикладное ПО информационных систем NetApp Inc. Santricity Cloud Connector — | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 7.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 22.01.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3E
https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277e100450209231830@%3Ccvs.httpd.apache.org%3E

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20190125-0001/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-0190.
Прочая информация: Эксплуатация уязвимости возможна только при использовании OpenSSL версии 1.1.1 (1.1.1 Pre1, 1.1.1 Pre2, 1.1.1 Pre3, 1.1.1 Pre4, 1.1.1 Pre5, 1.1.1 Pre6, 1.1.1 Pre7, 1.1.1 Pre8, 1.1.1 Pre9, 1.1.1a, 1.1.1b)
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3E
https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277e100450209231830@%3Ccvs.httpd.apache.org%3E
https://security.netapp.com/advisory/ntap-20190125-0001/