BDU:2021-00585: Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарущителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server связана с непоследовательной интерпретацией http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Oracle Corp., Novell Inc., Сообщество свободного программного обеспечения, Fedora Project, Cisco Systems Inc., Apache Software Foundation
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Instantis EnterpriseTrack, OpenSUSE Leap, Debian GNU/Linux, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Hyperion Infrastructure Technology, Apache HTTP Server
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 15.1 (OpenSUSE Leap)
  • 10 (Debian GNU/Linux)
  • 31 (Fedora)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 20.04 LTS (Ubuntu)
  • 15.2 (OpenSUSE Leap)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 8.8 (Sun ZFS Storage Appliance Kit)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
  • 11.1.2.4 (Hyperion Infrastructure Technology)
  • от 2.4.20 до 2.4.46 (Apache HTTP Server)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»), Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 07.08.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache HTTP Server:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-9490
https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev.httpd.apache.org%3E

Для продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/

Для Ubuntu:
https://usn.ubuntu.com/4458-1/

Для Debian:
https://www.debian.org/security/2020/dsa-4757

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения