BDU:2019-03632: Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server, связанная с чтением за границами буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Canonical Ltd., Oracle Corp., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО Ubuntu, Enterprise Manager Ops Center, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, OpenSUSE Leap, SUSE Linux Enterprise Module for High Performance Computing, SUSE Linux Enterprise Module for Server Applications, Apache HTTP Server, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 19.04 (Ubuntu)
  • 15.0 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for High Performance Computing)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15.1 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for Server Applications)
  • 15 (SUSE Linux Enterprise Module for Server Applications)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Software Development Kit)
  • от 2.4.20 до 2.4.39 включительно (Apache HTTP Server)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.08.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для apache2:

https://httpd.apache.org/security/vulnerabilities_24.html



Для Debian:

Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии

Для Ubuntu:

https://usn.ubuntu.com/4113-1/

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10081/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения