Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 связана с неконтролируемым использованием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Использование рекомендаций:
Для nghttp2:
https://github.com/nghttp2/nghttp2/releases/tag/v1.55.1
Для Envoy:
https://github.com/envoyproxy/envoy/releases/tag/v1.26.3
https://github.com/envoyproxy/envoy/releases/tag/v1.25.8
https://github.com/envoyproxy/envoy/releases/tag/v1.24.9
https://github.com/envoyproxy/envoy/releases/tag/v1.23.11
Компенсирующие меры:
В случае невозможности установки обновлений рекомендуется отключить использование протокола HTTP/2.
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Аврора: https://cve.omp.ru/bb27514
| Балл | 7.8 — высокая опасность |