Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03782

Опубликовано: 20 мар. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с неконтролируемым расходом ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Fedora Project
Apache Software Foundation
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Enterprise Manager Ops Center
Astra Linux Special Edition
SUSE Linux Enterprise Module for Open Buildservice Development Tools
OpenSUSE Leap
SUSE Linux Enterprise Module for Web Scripting
Red Hat Enterprise Linux
SUSE Linux Enterprise Module for Basesystem
Fedora
SUSE Linux Enterprise Module for Server Applications
Apache Traffic Server
Astra Linux Special Edition для «Эльбрус»
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
12.3.3 (Enterprise Manager Ops Center)
1.6 «Смоленск» (Astra Linux Special Edition)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15 (OpenSUSE Leap)
19.04 (Ubuntu)
12 (SUSE Linux Enterprise Module for Web Scripting)
8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
30 (Fedora)
15 SP1 (SUSE Linux Enterprise Module for Server Applications)
15 (SUSE Linux Enterprise Module for Server Applications)
15 (SUSE Linux Enterprise Module for Web Scripting)
15 SP1 (SUSE Linux Enterprise Module for Web Scripting)
12.4.0 (Enterprise Manager Ops Center)
от 6.0.0 до 6.2.3 включительно (Apache Traffic Server)
от 7.0.0 до 7.1.6 включительно (Apache Traffic Server)
от 8.0.0 до 8.0.3 включительно (Apache Traffic Server)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 2.4.2 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. OpenSUSE Leap 15
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для программных продуктов Apache Software Foundation:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-9511
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
Для Ubuntu:
https://usn.ubuntu.com/4099-1/
Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/CVE-2019-9511?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-9511
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13948
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-9511

CVSS3: 7.5
ubuntu
почти 6 лет назад

Some HTTP/2 implementations are vulnerable to window size manipulation and stream prioritization manipulation, potentially leading to a denial of service. The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both.

redhat логотип

CVE-2019-9511

CVSS3: 6.5
redhat
почти 6 лет назад

Some HTTP/2 implementations are vulnerable to window size manipulation and stream prioritization manipulation, potentially leading to a denial of service. The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both.

nvd логотип

CVE-2019-9511

CVSS3: 7.5
nvd
почти 6 лет назад

Some HTTP/2 implementations are vulnerable to window size manipulation and stream prioritization manipulation, potentially leading to a denial of service. The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both.

msrc логотип

CVE-2019-9511

CVSS3: 7.5
msrc
почти 6 лет назад

HTTP/2 Server Denial of Service Vulnerability

debian логотип

CVE-2019-9511

CVSS3: 7.5
debian
почти 6 лет назад

Some HTTP/2 implementations are vulnerable to window size manipulation ...

EPSS

Процентиль: 94%
0.13948
Средний

7.5 High

CVSS3

7.8 High

CVSS2