ГлавнаяБаза уязвимостей БДУ → BDU:2019-02995
7.8высокая

BDU:2019-02995 (CVE-2019-9514)

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, веб-сервера Apache Traffic Server, веб-сервера H2O, сетевых программных средств netty, SwiftNIO, Envoy, программной платформы Node.js позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-08-27
Описание

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, веб-сервера Apache Traffic Server, веб-сервера H2O, сетевых программных средств netty, SwiftNIO, Envoy, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Windows 10Windows 10 1607Windows 10 1703Windows Server 2016Windows Server 2016 (Server Core installation)Debian GNU/Linux (9)Windows 10 1709Windows 10 1803Windows Server 1803 (Server Core Installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Windows 10 1903Windows Server 1903 (Server Core Installation)Debian GNU/Linux (8)Envoy (до 1.11.1)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)SwiftNIO (до 1.5.0)netty (до 4.1.39.Final)Traffic Server (от 6.0.0 до 6.2.3)Traffic Server (от 7.0.0 до 7.1.6)Traffic Server (от 8.0.0 до 8.0.3)H2O (до 2.2.6)H2O (до 2.3.0-beta2)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)ОСОН ОСнова Оnyx (до 2.4.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9514

Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3E

Для H2O:
http://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-released.html

Для netty:
https://netty.io/news/2019/08/13/4-1-39-Final.html

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT210436

Для Envoy:
https://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aa

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для Debian:
Обновление программного обеспечения до актуальной версии

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova5

Для ОС ОН «Стрелец»:
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6.strelets
Обновление программного обеспечения golang-1.11 до версии 1.11.6-1+deb10u4.osnova6strelets

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9514https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3Ehttp://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-released.htmlhttps://netty.io/news/2019/08/13/4-1-39-Final.htmlhttps://support.apple.com/en-us/HT210436https://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aa
Проверьте безопасность своего сайта и почты → Полная проверка домена