ГлавнаяБаза уязвимостей БДУ → BDU:2021-00779
4.3высокая

BDU:2021-00779 (CVE-2020-11993)

Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или привести к неверной конфигурации сервера
Опубликовано: 2021-02-16
Описание

Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server связана с непоследовательной интерпретацией http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или привести к неверной конфигурации сервера

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)JBoss Core Services (1)OpenSUSE Leap (15.2)Enterprise Manager Ops Center (12.4.0.0)Sun ZFS Storage Appliance Kit (8.8)Oracle Communications Element Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Report Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Route Manager (от 8.2.0 до 8.2.2 включительно)Hyperion Infrastructure Technology (11.1.2.4)HTTP Server (от 2.4.20 до 2.4.43 включительно)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993
https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev.httpd.apache.org%3E

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4458-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11993

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-11993

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155

Для ОС ОН «Стрелец»:
Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899

Оценка CVSS
Балл4.3 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.htmlhttp://packetstormsecurity.com/files/160393/Apache-2-HTTP2-Module-Concurrent-Pool-Usage.htmlhttpd.apache.org%3Ehttpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993https://https://access.redhat.com/security/cve/cve-2020-11993
Проверьте безопасность своего сайта и почты → Полная проверка домена