ГлавнаяБаза уязвимостей БДУ → BDU:2020-04461
7.8высокая

BDU:2020-04461

Уязвимость библиотеки nghttp2, связанная с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-09-29
Описание

Уязвимость библиотеки nghttp2 связана с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании посредством отправки многочисленных сетевых пакетов HTTP/2 SETTINGS

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)Debian GNU/Linux (10)Fedora (31)Oracle Enterprise Session Border Controller (8.3)GraalVM Enterprise Edition (19.3.2)GraalVM Enterprise Edition (20.1.0)nghttp2 (до 1.41.0)Fedora (33)MySQL Cluster (до 7.3.30 включительно)MySQL Cluster (до 7.4.29 включительно)MySQL Cluster (до 7.5.19 включительно)MySQL Cluster (до 7.6.15 включительно)MySQL Cluster (до 8.0.21 включительно)Oracle Enterprise Session Border Controller (8.4)Enterprise Communications Broker (3.1)Enterprise Communications Broker (3.2)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для nghttp2:
https://github.com/nghttp2/nghttp2/commit/336a98feb0d56b9ac54e12736b18785c27f75090
https://github.com/nghttp2/nghttp2/commit/f8da73bd042f810f34d19f9eae02b46d870af394
https://github.com/nghttp2/nghttp2/security/advisories/GHSA-q5wr-xfw9-q7xr

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4696

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00024.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AAC2AA36OTRHKSVM5OV7TTVB3CZIGEFL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для ОС Astra Linux Special Edition 1.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2

Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/nghttp2/nghttp2/commit/336a98feb0d56b9ac54e12736b18785c27f75090https://github.com/nghttp2/nghttp2/commit/f8da73bd042f810f34d19f9eae02b46d870af394https://github.com/nghttp2/nghttp2/security/advisories/GHSA-q5wr-xfw9-q7xrhttps://www.debian.org/security/2020/dsa-4696https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00024.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AAC2AA36OTRHKSVM5OV7TTVB3CZIGEFL/https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена