ГлавнаяБаза уязвимостей БДУ → BDU:2019-03638
7.8высокая

BDU:2019-03638 (CVE-2019-9516)

Уязвимость реализации сетевого протокола HTTP/2 сервера nginx, программной платформы Node.js, сетевого программного средства SwiftNIO, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-10-16
Описание

Уязвимость реализации сетевого протокола HTTP/2 сервера nginx, программной платформы Node.js, сетевого программного средства SwiftNIO связана с неконтролируемым расходом ресурсов при получении заголовка с параметром length, равным нулю. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (19.04)Fedora (30)Debian GNU/Linux (8)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)SwiftNIO (до 1.5.0)Debian GNU/Linux (10)nginx (от 1.0.0 до 1.4.0 включительно)nginx (от 10.12)nginx (от 14.04)nginx (от 6.0.0 до 6.2.3 включительно)nginx (от 7.0.0 до 7.1.6 включительно)nginx (от 8.0 до 8.3 включительно)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:

Для nginx:

Обновление программного обеспечения до актуальной версии



Для Debian:

Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии



Для Ubuntu:

https://usn.ubuntu.com/4099-1/



Для Node.js:

https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/



Для программных продуктов Apple Inc.:

https://support.apple.com/en-us/HT210436



Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-9516https://security-tracker.debian.org/tracker/CVE-2019-9516https://usn.ubuntu.com/4099-1/https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/https://support.apple.com/en-us/HT210436https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
Проверьте безопасность своего сайта и почты → Полная проверка домена