ГлавнаяБаза уязвимостей БДУ → BDU:2019-02997
7.8высокая

BDU:2019-02997 (CVE-2019-9513)

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, веб-сервера Apache Traffic Server, сетевых программных средств Envoy, программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-08-27
Описание

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, веб-сервера Apache Traffic Server, сетевых программных средств Envoy, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Windows 10Windows 10 1607Windows 10 1703Windows Server 2016Windows Server 2016 (Server Core installation)Debian GNU/Linux (9)Windows 10 1709Windows 10 1803Windows Server 1803 (Server Core Installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Windows 10 1903Windows Server 1903 (Server Core Installation)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Envoy (до 1.11.1)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)Traffic Server (от 6.0.0 до 6.2.3)Traffic Server (от 7.0.0 до 7.1.6)Traffic Server (от 8.0.0 до 8.0.3)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)
Способ устранения

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9513

Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3E

Для Envoy:
https://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aa

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для Debian:
Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00005.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00014.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JUBYAF6ED3O4XCHQ5C2HYENJLXYXZC4M/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZLUYPYY3RX4ZJDWZRJIKSULYRJ4PXW7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-9513

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9513https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3Ehttps://blog.getambassador.io/multiple-http-2-vulnerabilities-in-envoy-proxy-59351babb3aahttps://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/https://security-tracker.debian.org/tracker/CVE-2019-9513http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html
Проверьте безопасность своего сайта и почты → Полная проверка домена