Описание
Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, веб-сервера Apache Traffic Server, сетевых программных средств Envoy, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
Microsoft Corp
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Fedora Project
Red Hat Inc.
Novell Inc.
Node.js Foundation
Apache Software Foundation
Oracle Corp.
АО «Концерн ВНИИНС»
Наименование ПО
Windows 10
Windows 10 1607
Windows 10 1703
Windows Server 2016
Windows Server 2016 (Server Core installation)
Debian GNU/Linux
Windows 10 1709
Windows 10 1803
Windows Server 1803 (Server Core Installation)
Windows 10 1809
Windows Server 2019
Windows Server 2019 (Server Core installation)
Astra Linux Special Edition
Fedora
Windows 10 1903
Windows Server 1903 (Server Core Installation)
Red Hat Enterprise Linux
OpenSUSE Leap
Envoy
Node.js
Apache Traffic Server
Red Hat Software Collections
Astra Linux Special Edition для «Эльбрус»
Oracle Communications Session Border Controller
Enterprise Communications Broker
ОС ОН «Стрелец»
Версия ПО
- (Windows 10)
- (Windows 10)
- (Windows 10 1607)
- (Windows 10 1607)
- (Windows 10 1703)
- (Windows Server 2016)
- (Windows 10 1703)
- (Windows Server 2016 (Server Core installation))
9 (Debian GNU/Linux)
- (Windows 10 1709)
- (Windows 10 1709)
- (Windows 10 1803)
- (Windows 10 1803)
- (Windows Server 1803 (Server Core Installation))
- (Windows 10 1809)
- (Windows 10 1809)
- (Windows Server 2019)
- (Windows Server 2019 (Server Core installation))
- (Windows 10 1809)
- (Windows 10 1709)
- (Windows 10 1803)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
29 (Fedora)
- (Windows 10 1903)
- (Windows 10 1903)
- (Windows 10 1903)
- (Windows Server 1903 (Server Core Installation))
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
до 1.11.1 (Envoy)
до 8.16.1 (Node.js)
до 10.16.3 (Node.js)
до 12.8.1 (Node.js)
от 6.0.0 до 6.2.3 (Apache Traffic Server)
от 7.0.0 до 7.1.6 (Apache Traffic Server)
от 8.0.0 до 8.0.3 (Apache Traffic Server)
- (Red Hat Software Collections)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.3 (Oracle Communications Session Border Controller)
8.4 (Oracle Communications Session Border Controller)
3.1 (Enterprise Communications Broker)
3.2 (Enterprise Communications Broker)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Microsoft Corp Windows 10 -
Microsoft Corp Windows 10 -
Microsoft Corp Windows 10 1607 -
Microsoft Corp Windows 10 1607 -
Microsoft Corp Windows 10 1703 -
Microsoft Corp Windows Server 2016 -
Microsoft Corp Windows 10 1703 -
Microsoft Corp Windows Server 2016 (Server Core installation) -
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Microsoft Corp Windows 10 1709 -
Microsoft Corp Windows 10 1709 -
Microsoft Corp Windows 10 1803 -
Microsoft Corp Windows 10 1803 -
Microsoft Corp Windows Server 1803 (Server Core Installation) -
Microsoft Corp Windows 10 1809 -
Microsoft Corp Windows 10 1809 -
Microsoft Corp Windows Server 2019 -
Microsoft Corp Windows Server 2019 (Server Core installation) -
Microsoft Corp Windows 10 1809 -
Microsoft Corp Windows 10 1709 -
Microsoft Corp Windows 10 1803 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Fedora Project Fedora 29
Microsoft Corp Windows 10 1903 -
Microsoft Corp Windows 10 1903 -
Microsoft Corp Windows 10 1903 -
Microsoft Corp Windows Server 1903 (Server Core Installation) -
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9513
Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3E
Для Envoy:
https://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aa
Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/
Для Debian:
Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00005.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00014.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JUBYAF6ED3O4XCHQ5C2HYENJLXYXZC4M/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZLUYPYY3RX4ZJDWZRJIKSULYRJ4PXW7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-9513
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 91%
0.07012
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 6 лет назад
Some HTTP/2 implementations are vulnerable to resource loops, potentially leading to a denial of service. The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU.
CVSS3: 7.5
redhat
около 6 лет назад
Some HTTP/2 implementations are vulnerable to resource loops, potentially leading to a denial of service. The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU.
CVSS3: 7.5
nvd
около 6 лет назад
Some HTTP/2 implementations are vulnerable to resource loops, potentially leading to a denial of service. The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU.
CVSS3: 7.5
debian
около 6 лет назад
Some HTTP/2 implementations are vulnerable to resource loops, potentia ...
EPSS
Процентиль: 91%
0.07012
Низкий
7.5 High
CVSS3
7.8 High
CVSS2