Описание
Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
Microsoft Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
Canonical Ltd.
АО «НТЦ ИТ РОСА»
Willy Terreau
The Go Project
Google Inc.
Eclipse Foundation
Apache Software Foundation
NGINX Inc.
АО "НППКТ"
Наименование ПО
Windows
Astra Linux Special Edition
Red Hat Enterprise Linux
OpenShift Container Platform
H2O
Debian GNU/Linux
Openshift Service Mesh
РЕД ОС
ASP.NET Core
Альт 8 СП
Ubuntu
Red Hat OpenStack Platform
Microsoft Visual Studio
.NET
Red Hat Ceph Storage
РОСА Кобальт
РОСА ХРОМ
Envoy
Cryostat
HAProxy
Go
gRPC
Jetty
netty
nghttp2
Apache Tomcat
Apache Traffic Server
NGINX Plus
NGINX Open Source
NGINX Ingress Controller
АЛЬТ СП 10
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0
Версия ПО
1607 (Windows)
1607 (Windows)
Server 2016 (Windows)
Server 2016 Server Core installation (Windows)
10 1809 (Windows)
10 1809 (Windows)
Server 2019 (Windows)
Server 2019 Server Core installation (Windows)
10 1809 (Windows)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
3.11 (OpenShift Container Platform)
до 2.2.6 (H2O)
10 (Debian GNU/Linux)
4 (OpenShift Container Platform)
2 (Openshift Service Mesh)
Server 2022 (Windows)
Server 2022 Server Core installation (Windows)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
10 21H2 (Windows)
10 21H2 (Windows)
10 21H2 (Windows)
6.0 (ASP.NET Core)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
16.2 (Red Hat OpenStack Platform)
2022 17.2 (Microsoft Visual Studio)
4.7 (Astra Linux Special Edition)
11 22H2 (Windows)
11 22H2 (Windows)
10 22H2 (Windows)
10 22H2 (Windows)
10 22H2 (Windows)
7.0 (.NET)
6.0 (.NET)
2022 17.4 (Microsoft Visual Studio)
11 21H2 (Windows)
11 21H2 (Windows)
17.0 (Red Hat OpenStack Platform)
16.1 (Red Hat OpenStack Platform)
5 (Red Hat Ceph Storage)
7.9 (РОСА Кобальт)
23.04 (Ubuntu)
2022 17.6 (Microsoft Visual Studio)
12.4 (РОСА ХРОМ)
до 1.27.0 (Envoy)
2 (Cryostat)
2022 17.7 (Microsoft Visual Studio)
17.1 (Red Hat OpenStack Platform)
7.0 (ASP.NET Core)
6 (Red Hat Ceph Storage)
16.1 (OpenShift Container Platform)
16.2 (OpenShift Container Platform)
17.0 (OpenShift Container Platform)
17.1 (OpenShift Container Platform)
до 1.9-dev (HAProxy)
до 1.21.3 (Go)
до 1.20.10 (Go)
до 1.59 (gRPC)
от 9.0.0 до 9.4.53.v20231009 (Jetty)
от 10.0.0 до 10.0.17 (Jetty)
от 11.0.0 до 11.0.17 (Jetty)
от 12.0.0 до 12.0.2 (Jetty)
до 4.1.100 (netty)
до 1.57.0 (nghttp2)
от 11.0.0 до 11.0.0-M12 (Apache Tomcat)
от 10.0.0 до 10.1.14 (Apache Tomcat)
от 9.0.0 до 9.0.81 (Apache Tomcat)
от 8.0.0 до 8.5.94 (Apache Tomcat)
до 9.2.0 (Apache Traffic Server)
от R25 до R30 включительно (NGINX Plus)
от 1.9.5 до 1.25.2 включительно (NGINX Open Source)
от 3.0.0 до 3.3.0 включительно (NGINX Ingress Controller)
от 2.0.0 до 2.4.2 включительно (NGINX Ingress Controller)
от 1.12.2 до 1.12.5 включительно (NGINX Ingress Controller)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
ПО программно-аппаратного средства
Сетевое средство
Операционные системы и аппаратные платформы
Microsoft Corp. Windows 1607
Microsoft Corp. Windows 1607
Microsoft Corp. Windows Server 2016
Microsoft Corp. Windows Server 2016 Server Core installation
Microsoft Corp. Windows 10 1809
Microsoft Corp. Windows 10 1809
Microsoft Corp. Windows Server 2019
Microsoft Corp. Windows Server 2019 Server Core installation
Microsoft Corp. Windows 10 1809
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Microsoft Corp. Windows Server 2022
Microsoft Corp. Windows Server 2022 Server Core installation
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Microsoft Corp. Windows 10 21H2
Microsoft Corp. Windows 10 21H2
Microsoft Corp. Windows 10 21H2
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Microsoft Corp. Windows 11 22H2
Microsoft Corp. Windows 11 22H2
Microsoft Corp. Windows 10 22H2
Microsoft Corp. Windows 10 22H2
Microsoft Corp. Windows 10 22H2
Microsoft Corp. Windows 11 21H2
Microsoft Corp. Windows 11 21H2
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Canonical Ltd. Ubuntu 23.04
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.
Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487
Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055
Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
Для gRPC:
https://github.com/grpc/grpc-go/pull/6703
Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4
Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94469
Критический
7.5 High
CVSS3
7.8 High
CVSS2
EPSS
Процентиль: 100%
0.94469
Критический
7.5 High
CVSS3
7.8 High
CVSS2