Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04410

Опубликовано: 29 янв. 2019
Источник: fstec
CVSS3: 4.2
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или привести к неверной конфигурации сервера

Вендор

Canonical Ltd.
Oracle Corp.
ООО «РусБИТех-Астра»
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Enterprise Manager Ops Center
Retail Xstore Point of Service
Instantis EnterpriseTrack
Astra Linux Common Edition
Apache HTTP Server
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
12.3.3 (Enterprise Manager Ops Center)
19.04 (Ubuntu)
7.0 (Retail Xstore Point of Service)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
12.4.0 (Enterprise Manager Ops Center)
7.1 (Retail Xstore Point of Service)
от 2.4.34 до 2.4.38 включительно (Apache HTTP Server)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 19.04
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Обновление веб-сервера Apache HTTP Server до версии 2.4.39 или новее
Для программных средств Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
Для Ubuntu:
https://usn.ubuntu.com/4113-1/
Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u9 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02196
Низкий

4.2 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-0197

CVSS3: 4.2
ubuntu
около 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When HTTP/2 was enabled for a http: host or H2Upgrade was enabled for h2 on a https: host, an Upgrade request from http/1.1 to http/2 that was not the first request on a connection could lead to a misconfiguration and crash. Server that never enabled the h2 protocol or that only enabled it for https: and did not set "H2Upgrade on" are unaffected by this issue.

redhat логотип

CVE-2019-0197

CVSS3: 4.2
redhat
больше 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When HTTP/2 was enabled for a http: host or H2Upgrade was enabled for h2 on a https: host, an Upgrade request from http/1.1 to http/2 that was not the first request on a connection could lead to a misconfiguration and crash. Server that never enabled the h2 protocol or that only enabled it for https: and did not set "H2Upgrade on" are unaffected by this issue.

nvd логотип

CVE-2019-0197

CVSS3: 4.2
nvd
около 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When HTTP/2 was enabled for a http: host or H2Upgrade was enabled for h2 on a https: host, an Upgrade request from http/1.1 to http/2 that was not the first request on a connection could lead to a misconfiguration and crash. Server that never enabled the h2 protocol or that only enabled it for https: and did not set "H2Upgrade on" are unaffected by this issue.

debian логотип

CVE-2019-0197

CVSS3: 4.2
debian
около 6 лет назад

A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When ...

github логотип

GHSA-g33m-gfwr-29g4

CVSS3: 4.2
github
около 3 лет назад

A vulnerability was found in Apache HTTP Server 2.4.34 to 2.4.38. When HTTP/2 was enabled for a http: host or H2Upgrade was enabled for h2 on a https: host, an Upgrade request from http/1.1 to http/2 that was not the first request on a connection could lead to a misconfiguration and crash. Server that never enabled the h2 protocol or that only enabled it for https: and did not set "H2Upgrade on" are unaffected by this issue.

EPSS

Процентиль: 84%
0.02196
Низкий

4.2 Medium

CVSS3

4.9 Medium

CVSS2