Описание
Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
Microsoft Corp
ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
Canonical Ltd.
АО «НТЦ ИТ РОСА»
Fedora Project
Willy Terreau
The Go Project
Google Inc
Eclipse Foundation
Apache Software Foundation
NGINX Inc.
АО "НППКТ"
Axiom JDK
ООО «Открытая мобильная платформа»
Наименование ПО
Windows 10 1607
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows 10 1809
Windows Server 2019
Windows Server 2019 (Server Core installation)
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
OpenSUSE Leap
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Web Scripting
Red Hat Enterprise Linux
SUSE Linux Enterprise Software Development Kit
OpenShift Container Platform
H2O
Debian GNU/Linux
openSUSE Tumbleweed
SUSE CaaS Platform
Openshift Service Mesh
Windows Server 2022
Windows Server 2022 (Server Core installation)
РЕД ОС
Windows 10 21H2
SUSE Manager Proxy
SUSE Manager Server
ASP.NET Core
SUSE Linux Enterprise Micro
Альт 8 СП
Suse Linux Enterprise Desktop
SUSE Manager Retail Branch Server
Ubuntu
Red Hat OpenStack Platform
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Module for Development Tools
Microsoft Visual Studio
Windows 11 22H2
Windows 10 22H2
openSUSE Leap Micro
.NET
Windows 11 21H2
Red Hat Ceph Storage
РОСА Кобальт
Fedora
SUSE Package Hub
SUSE Linux Enterprise Module for Public Cloud
ROSA Virtualization
РОСА ХРОМ
SUSE Linux Enterprise Module for Package Hub
Envoy
Cryostat
HAProxy
Go
gRPC
Jetty
netty
nghttp2
Apache Tomcat
Apache Traffic Server
NGINX Plus
NGINX Open Source
NGINX Ingress Controller
АЛЬТ СП 10
ОСОН ОСнова Оnyx
SUSE Liberty Linux
SUSE Linux Enterprise Module for Containers
SUSE Linux Enterprise Module for Server Applications
SUSE Linux Enterprise Module for Python 3
ROSA Virtualization 3.0
Libercat Certified
SUSE Linux Micro
Fedora EPEL
ОС Аврора
Версия ПО
- (Windows 10 1607)
- (Windows 10 1607)
- (Windows Server 2016)
- (Windows Server 2016 (Server Core installation))
- (Windows 10 1809)
- (Windows 10 1809)
- (Windows Server 2019)
- (Windows Server 2019 (Server Core installation))
- (Windows 10 1809)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15.5 (OpenSUSE Leap)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise High Performance Computing)
12 (SUSE Linux Enterprise Module for Web Scripting)
8 (Red Hat Enterprise Linux)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
3.11 (OpenShift Container Platform)
до 2.2.6 (H2O)
10 (Debian GNU/Linux)
12 (SUSE Linux Enterprise Server for SAP Applications)
- (openSUSE Tumbleweed)
4 (OpenShift Container Platform)
4.0 (SUSE CaaS Platform)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
2 (Openshift Service Mesh)
- (Windows Server 2022)
- (Windows Server 2022 (Server Core installation))
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
12 (Suse Linux Enterprise Server)
7.3 (РЕД ОС)
- (Windows 10 21H2)
- (Windows 10 21H2)
- (Windows 10 21H2)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
6.0 (ASP.NET Core)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
5.1 (SUSE Linux Enterprise Micro)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Retail Branch Server)
5.2 (SUSE Linux Enterprise Micro)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
16.2 (Red Hat OpenStack Platform)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Basesystem)
15 SP4 (SUSE Linux Enterprise Module for Development Tools)
2022 17.2 (Microsoft Visual Studio)
4.7 (Astra Linux Special Edition)
- (Windows 11 22H2)
- (Windows 11 22H2)
- (Windows 10 22H2)
- (Windows 10 22H2)
- (Windows 10 22H2)
5.3 (SUSE Linux Enterprise Micro)
5.3 (openSUSE Leap Micro)
7.0 (.NET)
6.0 (.NET)
2022 17.4 (Microsoft Visual Studio)
- (Windows 11 21H2)
- (Windows 11 21H2)
15 SP3-LTSS (Suse Linux Enterprise Server)
17.0 (Red Hat OpenStack Platform)
16.1 (Red Hat OpenStack Platform)
15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
5 (Red Hat Ceph Storage)
7.9 (РОСА Кобальт)
38 (Fedora)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
12 (SUSE Package Hub)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
15 SP5 (SUSE Linux Enterprise Module for Development Tools)
15 SP5 (SUSE Linux Enterprise Module for Public Cloud)
5.4 (SUSE Linux Enterprise Micro)
2.1 (ROSA Virtualization)
23.04 (Ubuntu)
2022 17.6 (Microsoft Visual Studio)
5.4 (openSUSE Leap Micro)
12.4 (РОСА ХРОМ)
15 SP5 (SUSE Linux Enterprise Module for Package Hub)
до 1.27.0 (Envoy)
2 (Cryostat)
2022 17.7 (Microsoft Visual Studio)
17.1 (Red Hat OpenStack Platform)
7.0 (ASP.NET Core)
6 (Red Hat Ceph Storage)
16.1 (OpenShift Container Platform)
16.2 (OpenShift Container Platform)
17.0 (OpenShift Container Platform)
17.1 (OpenShift Container Platform)
до 1.9-dev (HAProxy)
до 1.21.3 (Go)
до 1.20.10 (Go)
до 1.59 (gRPC)
от 9.0.0 до 9.4.53.v20231009 (Jetty)
от 10.0.0 до 10.0.17 (Jetty)
от 11.0.0 до 11.0.17 (Jetty)
от 12.0.0 до 12.0.2 (Jetty)
до 4.1.100 (netty)
до 1.57.0 (nghttp2)
от 11.0.0 до 11.0.0-M12 (Apache Tomcat)
от 10.0.0 до 10.1.14 (Apache Tomcat)
от 9.0.0 до 9.0.81 (Apache Tomcat)
от 8.0.0 до 8.5.94 (Apache Tomcat)
до 9.2.0 (Apache Traffic Server)
от R25 до R30 включительно (NGINX Plus)
от 1.9.5 до 1.25.2 включительно (NGINX Open Source)
от 3.0.0 до 3.3.0 включительно (NGINX Ingress Controller)
от 2.0.0 до 2.4.2 включительно (NGINX Ingress Controller)
от 1.12.2 до 1.12.5 включительно (NGINX Ingress Controller)
- (АЛЬТ СП 10)
5.5 (SUSE Linux Enterprise Micro)
5.5 (openSUSE Leap Micro)
15 SP4 (SUSE Linux Enterprise Module for Web Scripting)
15 SP5 (SUSE Linux Enterprise Module for Web Scripting)
до 2.9 (ОСОН ОСнова Оnyx)
9 (SUSE Liberty Linux)
8 (SUSE Liberty Linux)
15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise Module for Containers)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15 SP6 (SUSE Linux Enterprise Module for Basesystem)
15 SP6 (SUSE Linux Enterprise Module for Package Hub)
15.6 (OpenSUSE Leap)
15 SP6 (SUSE Linux Enterprise Module for Development Tools)
15 SP6 (SUSE Linux Enterprise Module for Server Applications)
15 SP6 (SUSE Package Hub)
15 SP6 (SUSE Linux Enterprise Module for Containers)
15 SP6 (SUSE Linux Enterprise Module for Web Scripting)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Python 3)
3.0 (ROSA Virtualization 3.0)
15 SP7 (Suse Linux Enterprise Desktop)
15 SP7 (SUSE Linux Enterprise High Performance Computing)
15 SP7 (Suse Linux Enterprise Server)
15 SP7 (SUSE Linux Enterprise Server for SAP Applications)
15 SP7 (SUSE Linux Enterprise Module for Basesystem)
15 SP7 (SUSE Linux Enterprise Module for Development Tools)
15 SP7 (SUSE Linux Enterprise Module for Package Hub)
15 SP7 (SUSE Linux Enterprise Module for Server Applications)
15 SP7 (SUSE Linux Enterprise Module for Containers)
до 9.0.88-2 (Libercat Certified)
до 10.1.20-2 (Libercat Certified)
6.0 (SUSE Linux Micro)
6.1 (SUSE Linux Micro)
epel8 (Fedora EPEL)
до 5.1.4 включительно (ОС Аврора)
15 SP7 (SUSE Linux Enterprise Module for Web Scripting)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
Сетевое средство
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Microsoft Corp Windows 10 1607 -
Microsoft Corp Windows 10 1607 -
Microsoft Corp Windows Server 2016 -
Microsoft Corp Windows Server 2016 (Server Core installation) -
Microsoft Corp Windows 10 1809 -
Microsoft Corp Windows 10 1809 -
Microsoft Corp Windows Server 2019 -
Microsoft Corp Windows Server 2019 (Server Core installation) -
Microsoft Corp Windows 10 1809 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. OpenSUSE Leap 15.5
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. openSUSE Tumbleweed -
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Microsoft Corp Windows Server 2022 -
Microsoft Corp Windows Server 2022 (Server Core installation) -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Novell Inc. Suse Linux Enterprise Server 12
ООО «Ред Софт» РЕД ОС 7.3
Microsoft Corp Windows 10 21H2 -
Microsoft Corp Windows 10 21H2 -
Microsoft Corp Windows 10 21H2 -
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Microsoft Corp Windows 11 22H2 -
Microsoft Corp Windows 11 22H2 -
Microsoft Corp Windows 10 22H2 -
Microsoft Corp Windows 10 22H2 -
Microsoft Corp Windows 10 22H2 -
Novell Inc. openSUSE Leap Micro 5.3
Microsoft Corp Windows 11 21H2 -
Microsoft Corp Windows 11 21H2 -
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Fedora Project Fedora 38
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Canonical Ltd. Ubuntu 23.04
Novell Inc. openSUSE Leap Micro 5.4
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. openSUSE Leap Micro 5.5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Novell Inc. SUSE Liberty Linux 9
Novell Inc. SUSE Liberty Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Novell Inc. Suse Linux Enterprise Desktop 15 SP7
Novell Inc. Suse Linux Enterprise Server 15 SP7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7
Novell Inc. SUSE Linux Micro 6.0
Novell Inc. SUSE Linux Micro 6.1
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.
Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487
Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055
Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
Для gRPC:
https://github.com/grpc/grpc-go/pull/6703
Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4
Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2831
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2895
Для Libercat Certified:
Обновление ПО до актуальной версии
Для ОС Аврора: https://cve.omp.ru/bb27514
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D
Для Fedora EPEL:
https://bugzilla.redhat.com/show_bug.cgi?id=2243324
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-44487.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94474
Критический
7.5 High
CVSS3
7.8 High
CVSS2
EPSS
Процентиль: 100%
0.94474
Критический
7.5 High
CVSS3
7.8 High
CVSS2