ГлавнаяБаза уязвимостей БДУ → BDU:2024-02691
5средняя

BDU:2024-02691

Уязвимость библиотеки nghttp2, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-06
Описание

Уязвимость библиотеки nghttp2 (в части реализации протокола HTTP/2) связана с неконтролируемым расходом ресурсов в результате некорректного определения окончания заголовка при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА Кобальт (7.9)АЛЬТ СП 10nghttp2 (до 1.61.0)Kaspersky Security для Microsoft Exchange Server (9.6.96.0)
Способ устранения

Использование рекомендаций:
https://github.com/nghttp2/nghttp2/security/advisories/GHSA-x6x3-gv8h-m57q

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).



Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства



Для ОС Альт 8 СП (релиз 10):
установка обновления из публичного репозитория программного средства



Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/



Для ОС Astra Linux:

обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17



Для Astra Linux Special Edition 1.6 «Смоленск»:
обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16



Для Astra Linux Special Edition 4.7 для архитектуры ARM:

обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47



Для ОС РОСА "КОБАЛЬТ":
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для Kaspersky Security для Microsoft Exchange Server:
В случае использования локальных источников обновления и (или) ретрансляции баз, для устранения уязвимости в качестве источника обновления должна использоваться сетевая папка общего доступа.

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/nghttp2/nghttp2/commit/00201ecd8f982da3b67d4f6868af72a1b03b14e0https://github.com/nghttp2/nghttp2/commit/d71a4668c6bead55805d18810d633fbb98315af9https://github.com/nghttp2/nghttp2/security/advisories/GHSA-x6x3-gv8h-m57qhttps://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена