ГлавнаяБаза уязвимостей БДУ → BDU:2019-03782
7.8высокая

BDU:2019-03782 (CVE-2019-9511)

Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server, связанная с неконтролируемым расходом ресурса, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-10-29
Описание

Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с неконтролируемым расходом ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Enterprise Manager Ops Center (12.3.3)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)OpenSUSE Leap (15)Ubuntu (19.04)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Fedora (30)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15)SUSE Linux Enterprise Module for Web Scripting (15)SUSE Linux Enterprise Module for Web Scripting (15 SP1)Enterprise Manager Ops Center (12.4.0)Traffic Server (от 6.0.0 до 6.2.3 включительно)Traffic Server (от 7.0.0 до 7.1.6 включительно)Traffic Server (от 8.0.0 до 8.0.3 включительно)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОСОН ОСнова Оnyx (до 2.4.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для программных продуктов Apache Software Foundation:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-9511

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для Ubuntu:
https://usn.ubuntu.com/4099-1/

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/CVE-2019-9511?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-9511

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-9511https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-9511https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://usn.ubuntu.com/4099-1/https://access.redhat.com/security/cve/CVE-2019-9511?extIdCarryOver=true&sc_cid=701f2000001OH7JAAWhttps://security-tracker.debian.org/tracker/CVE-2019-9511https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена