ГлавнаяБаза уязвимостей БДУ → BDU:2025-04696
7.8высокая

BDU:2025-04696

Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-05-15
Описание

Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 связана с неконтролируемым использованием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Альт 8 СПnghttp2 (до 1.55.1)Envoy (от 1.26.0 до 1.26.3)Envoy (от 1.25.0 до 1.25.8)Envoy (от 1.24.0 до 1.24.9)Envoy (до 1.23.11)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для nghttp2:
https://github.com/nghttp2/nghttp2/releases/tag/v1.55.1

Для Envoy:
https://github.com/envoyproxy/envoy/releases/tag/v1.26.3
https://github.com/envoyproxy/envoy/releases/tag/v1.25.8
https://github.com/envoyproxy/envoy/releases/tag/v1.24.9
https://github.com/envoyproxy/envoy/releases/tag/v1.23.11

Компенсирующие меры:
В случае невозможности установки обновлений рекомендуется отключить использование протокола HTTP/2.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/envoyproxy/envoy/security/advisories/GHSA-jfxv-29pc-x22rhttps://github.com/nghttp2/nghttp2/blob/e7f59406556c80904b81b593d38508591bb7523a/lib/nghttp2_session.c#L3346https://github.com/nghttp2/nghttp2/pull/1930https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://cve.omp.ru/bb27514
Проверьте безопасность своего сайта и почты → Полная проверка домена