ГлавнаяБаза уязвимостей БДУ → BDU:2019-03646
7.8высокая

BDU:2019-03646 (CVE-2019-9515)

Уязвимость компонента connection.c сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, веб-сервера H2O, программной платформы Node.js, сетевого программного средства SwiftNIO, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-10-16
Описание

Уязвимость компонента connection.c сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, веб-сервера H2O, программной платформы Node.js, сетевого программного средства SwiftNIO связана с ошибками в работе механизма контроля расхода ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально сгенерированного потока кадров

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Fedora (29)Fedora (30)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)SwiftNIO (до 1.5.0)Debian GNU/Linux (10)Traffic Server (от 6.0.0 до 6.2.3 включительно)Traffic Server (от 7.0.0 до 7.1.6 включительно)Traffic Server (от 8.0 до 8.3 включительно)H2O (до 2.2.5)ОСОН ОСнова Оnyx (до 2.4.2)
Способ устранения

Для h2o:
http://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-released.html

Для Debian:
Обновление программного обеспечения (пакета h2o) до 2.2.5+dfsg2-2+deb10u1 или более поздней версии

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT210436

Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3E
https://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3E

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-9515https://security-tracker.debian.org/tracker/CVE-2019-9515http://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-released.htmlhttps://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/https://support.apple.com/en-us/HT210436https://lists.apache.org/thread.html/392108390cef48af647a2e47b7fd5380e050e35ae8d1aa2030254c04@%3Cusers.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3Ehttps://lists.apache.org/thread.html/bde52309316ae798186d783a5e29f4ad1527f61c9219a289d0eee0a7@%3Cdev.trafficserver.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена