БДУ - Уязвимости

BDU:2021-00779: Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или привести к неверной конфигурации сервера

Описание уязвимости	Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server связана с непоследовательной интерпретацией http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или привести к неверной конфигурации сервера
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Oracle Corp., Red Hat Inc., Novell Inc., Fedora Project, Apache Software Foundation, АО «НТЦ ИТ РОСА», АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Instantis EnterpriseTrack, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, OpenSUSE Leap, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), JBoss Core Services, Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Hyperion Infrastructure Technology, Apache HTTP Server, ROSA Virtualization (запись в едином реестре российских программ №5091), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 17.1 (Instantis EnterpriseTrack) 17.2 (Instantis EnterpriseTrack) 17.3 (Instantis EnterpriseTrack) 2.12 «Орёл» (Astra Linux Common Edition) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 31 (Fedora) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 32 (Fedora) 20.04 LTS (Ubuntu) 1 (JBoss Core Services) 15.2 (OpenSUSE Leap) 12.4.0.0 (Enterprise Manager Ops Center) 8.8 (Sun ZFS Storage Appliance Kit) от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager) от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager) от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager) 11.1.2.4 (Hyperion Infrastructure Technology) от 2.4.20 до 2.4.43 включительно (Apache HTTP Server) 2.1 (ROSA Virtualization) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 31 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32 Canonical Ltd. Ubuntu 20.04 LTS Novell Inc. OpenSUSE Leap 15.2 АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 (запись в едином реестре российских программ №5091) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Неконтролируемый расход ресурса («Истощение ресурса»), Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки	CWE-400 CWE-444
Класс уязвимости	Уязвимость архитектуры
Дата выявления	07.08.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Apache: https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993 https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev.httpd.apache.org%3E https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev.httpd.apache.org%3E https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev.httpd.apache.org%3E Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuoct2020.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/ Для Ubuntu: https://ubuntu.com/security/notices/USN-4458-1 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-11993 Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-11993 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155 Для ОС ОН «Стрелец»: Обновление программного обеспечения apache2 до версии 2.4.54-2osnova11.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html http://packetstormsecurity.com/files/160393/Apache-2-HTTP2-Module-Concurrent-Pool-Usage.html httpd.apache.org%3E httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993 https:// https://access.redhat.com/security/cve/cve-2020-11993 https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev. https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev. https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev. https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/ https://nvd.nist.gov/vuln/detail/CVE-2020-11993 https://security-tracker.debian.org/tracker/CVE-2020-11993 https://ubuntu.com/security/notices/USN-4458-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.debian.org/security/2020/dsa-4757 https://www.oracle.com/security-alerts/cpujan2021.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://www.oracle.com/security-alerts/cpuoct2020.html https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2155 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-11993
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»