ROS-20240423-01

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость кэш-сервера Varnish связана с тем, что у сервера закончатся кредиты во время потока управления соединением HTTP/2. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать ситуацию когда сервер перестанет правильно обрабатывать активные HTTP-потоки, сохраняя уже выделенные ресурсы, что приведет к истощению ресурсов.

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость веб-сервера Apache HTTP Server связана с блокировкой обработки соединения HTTP/2, если оно было открыто с выставлением в 0 начального размера скользящего окна. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость кэш-сервера Varnish связана с тем, что символы передаваемые через псевдозаголовки HTTP/2, и которые недействительны в контексте строки запроса HTTP/1, в результате чего сервер Varnish выдает недействительные запросы HTTP/1 на серверную часть. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать уязвимости в сервере за сервером Varnish.

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании