ГлавнаяБаза уязвимостей БДУ → BDU:2019-03647
7.8высокая

BDU:2019-03647 (CVE-2019-9517)

Уязвимость сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, программной платформы Node.js, связанная с недостатком механизма контроля расхода ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-10-16
Описание

Уязвимость сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, программной платформы Node.js связана с ошибками в работе механизма контроля расхода ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании через специально настроенное окно HTTP/2

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (19.04)Fedora (30)Node.js (до 8.16.1)Node.js (до 10.16.3)Node.js (до 12.8.1)Debian GNU/Linux (10)Traffic Server (от 6.0.0 до 6.2.3 включительно)Traffic Server (от 7.0.0 до 7.1.6 включительно)Traffic Server (от 8.0 до 8.3 включительно)ОС ОН «Стрелец» (1.0)
Способ устранения

Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/ec97fdfc1a859266e56fef084353a34e0a0b08901b3c1aa317a43c8c@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/d89f999e26dfb1d50f247ead1fe8538014eb412b2dbe5be4b1a9ef50@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3E
https://lists.apache.org/thread.html/4610762456644181b267c846423b3a990bd4aaea1886ecc7d51febdb@%3Cannounce.httpd.apache.org%3E



Для Debian:

Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии



Для Ubuntu:

https://usn.ubuntu.com/4113-1/



Для Node.js:

https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/



Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет apache2 до 2.4.25-astrase19.0.10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-9517https://security-tracker.debian.org/tracker/CVE-2019-9517https://lists.apache.org/thread.html/ec97fdfc1a859266e56fef084353a34e0a0b08901b3c1aa317a43c8c@%3Cdev.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/d89f999e26dfb1d50f247ead1fe8538014eb412b2dbe5be4b1a9ef50@%3Cdev.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3Ehttps://lists.apache.org/thread.html/4610762456644181b267c846423b3a990bd4aaea1886ecc7d51febdb@%3Cannounce.httpd.apache.org%3Ehttps://usn.ubuntu.com/4113-1/https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/
Проверьте безопасность своего сайта и почты → Полная проверка домена