Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00779

Опубликовано: 07 авг. 2020
Источник: fstec
CVSS3: 7.3
CVSS2: 4.3
EPSS Средний

Описание

Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server связана с непоследовательной интерпретацией http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или привести к неверной конфигурации сервера

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Oracle Corp.
Red Hat Inc.
Novell Inc.
Fedora Project
Apache Software Foundation
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
Instantis EnterpriseTrack
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Fedora
Astra Linux Special Edition для «Эльбрус»
JBoss Core Services
Enterprise Manager Ops Center
Sun ZFS Storage Appliance Kit
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Hyperion Infrastructure Technology
Apache HTTP Server
ROSA Virtualization
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
10 (Debian GNU/Linux)
31 (Fedora)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
32 (Fedora)
20.04 LTS (Ubuntu)
1 (JBoss Core Services)
15.2 (OpenSUSE Leap)
12.4.0.0 (Enterprise Manager Ops Center)
8.8 (Sun ZFS Storage Appliance Kit)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
11.1.2.4 (Hyperion Infrastructure Technology)
от 2.4.20 до 2.4.43 включительно (Apache HTTP Server)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. OpenSUSE Leap 15.2
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993
https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev.httpd.apache.org%3E
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4458-1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11993
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-11993
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155
Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.38847
Средний

7.3 High

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11993

CVSS3: 7.5
ubuntu
почти 5 лет назад

Apache HTTP Server versions 2.4.20 to 2.4.43 When trace/debug was enabled for the HTTP/2 module and on certain traffic edge patterns, logging statements were made on the wrong connection, causing concurrent use of memory pools. Configuring the LogLevel of mod_http2 above "info" will mitigate this vulnerability for unpatched servers.

redhat логотип

CVE-2020-11993

CVSS3: 7.5
redhat
почти 5 лет назад

Apache HTTP Server versions 2.4.20 to 2.4.43 When trace/debug was enabled for the HTTP/2 module and on certain traffic edge patterns, logging statements were made on the wrong connection, causing concurrent use of memory pools. Configuring the LogLevel of mod_http2 above "info" will mitigate this vulnerability for unpatched servers.

nvd логотип

CVE-2020-11993

CVSS3: 7.5
nvd
почти 5 лет назад

Apache HTTP Server versions 2.4.20 to 2.4.43 When trace/debug was enabled for the HTTP/2 module and on certain traffic edge patterns, logging statements were made on the wrong connection, causing concurrent use of memory pools. Configuring the LogLevel of mod_http2 above "info" will mitigate this vulnerability for unpatched servers.

msrc логотип

CVE-2020-11993

CVSS3: 7.5
msrc
почти 5 лет назад

Описание отсутствует

debian логотип

CVE-2020-11993

CVSS3: 7.5
debian
почти 5 лет назад

Apache HTTP Server versions 2.4.20 to 2.4.43 When trace/debug was enab ...

EPSS

Процентиль: 97%
0.38847
Средний

7.3 High

CVSS3

4.3 Medium

CVSS2

Уязвимость BDU:2021-00779