Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02690

Опубликовано: 03 апр. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость брандмауэра веб-приложений Tempesta (в части реализации протокола HTTP/2) связана с неконтролируемым расходом ресурсов в результате некорректного определения окончания заголовка при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Tempesta-Tech

Наименование ПО

Tempesta

Версия ПО

до 0.7.1 (Tempesta)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/tempesta-tech/tempesta/security/advisories/GHSA-3xwj-5ch3-q9p4
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00358
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-2758

redhat
почти 2 года назад

Tempesta FW rate limits are not enabled by default. They are either set too large to capture empty CONTINUATION frames attacks or too small to handle normal HTTP requests appropriately.

nvd логотип

CVE-2024-2758

CVSS3: 6.3
nvd
почти 2 года назад

Tempesta FW rate limits are not enabled by default. They are either set too large to capture empty CONTINUATION frames attacks or too small to handle normal HTTP requests appropriately.

github логотип

GHSA-5x2g-c9gv-xwq2

CVSS3: 6.3
github
почти 2 года назад

Tempesta FW rate limits are not enabled by default. They are either set too large to capture empty CONTINUATION frames attacks or too small to handle normal HTTP requests appropriately.

EPSS

Процентиль: 58%
0.00358
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2