ГлавнаяБаза уязвимостей БДУ → BDU:2019-02994
7.8высокая

BDU:2019-02994 (CVE-2019-9511)

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-08-27
Описание

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Windows 10Windows 10 1607Windows 10 1703Windows Server 2016Windows Server 2016 (Server Core installation)Debian GNU/Linux (9)Windows 10 1709Windows 10 1803Windows Server 1803 (Server Core Installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Windows 10 1903Windows Server 1903 (Server Core Installation)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)nginx (до 1.17.3)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Oracle Communications Session Border Controller (8.3)Oracle Communications Session Border Controller (8.4)Enterprise Communications Broker (3.1)Enterprise Communications Broker (3.2)
Способ устранения

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9511

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html

Для Debian:
Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00005.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00014.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZLUYPYY3RX4ZJDWZRJIKSULYRJ4PXW7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Для ОС Astra Linux:
- обновить пакет nghttp2 до 1.36.0-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9511http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.htmlhttps://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/https://www.opennet.ru/opennews/art.shtml?num=51279https://security-tracker.debian.org/tracker/CVE-2019-9511https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html
Проверьте безопасность своего сайта и почты → Полная проверка домена