ГлавнаяБаза уязвимостей БДУ → BDU:2019-02957
7.8высокая

BDU:2019-02957 (CVE-2019-9518)

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, сетевых программных средств netty, Envoy, SwiftNIO, программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-08-22
Описание

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, сетевых программных средств netty, Envoy, SwiftNIO, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью потока кадров типа DATA, HEADERS, CONTINUATION или PUSH_PROMISE (с пустым полезным содержимым и без флага завершения потока)

Затрагиваемое ПО и версии
Windows 10Windows 10 1607Windows 10 1703Windows Server 2016Windows Server 2016 (Server Core installation)Debian GNU/Linux (9)Windows 10 1709Windows 10 1803Windows Server 1803 (Server Core Installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Windows 10 1903Windows Server 1903 (Server Core Installation)Debian GNU/Linux (8)Envoy (до 1.11.1)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)nginx (до 1.17.3)SwiftNIO (до 1.5.0)netty (до 4.1.39.Final)
Способ устранения

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9518

Для netty:
https://netty.io/news/2019/08/13/4-1-39-Final.html

Для Envoy:
https://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aa

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT210436

Для nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html

Для Debian:
Обновление программного обеспечения (пакета trafficserve) до З 8.0.2+ds-1+deb10u1 или более поздней версии

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9518https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.mdhttps://www.opennet.ru/opennews/art.shtml?num=51279https://netty.io/news/2019/08/13/4-1-39-Final.htmlhttps://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aahttps://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/https://support.apple.com/en-us/HT210436http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html
Проверьте безопасность своего сайта и почты → Полная проверка домена