ГлавнаяБаза уязвимостей БДУ → BDU:2024-02688
5средняя

BDU:2024-02688 (CVE-2023-45288)

Уязвимость библиотек net/http и net/http2 языка программирования Go, связана с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-06
Описание

Уязвимость библиотек net/http и net/http2 языка программирования Go (в части реализации протокола HTTP/2) связана с неконтролируемым расходом ресурсов в результате некорректного определения окончания заголовка при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Go (до 1.21.9)Go (от 1.22.0-0 до 1.22.2)
Способ устранения

Использование рекомендаций:
Для Go:
https://pkg.go.dev/vuln/GO-2024-2687

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-45288

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://pkg.go.dev/vuln/GO-2024-2687https://security-tracker.debian.org/tracker/CVE-2023-45288https://github.com/golang/go/issues/65051https://groups.google.com/g/golang-announce/c/YgW0sx8mN3Mhttps://go-review.googlesource.com/c/net/+/576155http://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена