BDU:2021-00779: Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или привести к неверной конфигурации сервера

Описание уязвимости Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server связана с непоследовательной интерпретацией http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или привести к неверной конфигурации сервера
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Oracle Corp., Red Hat Inc., Novell Inc., Fedora Project, Apache Software Foundation
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Instantis EnterpriseTrack, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, OpenSUSE Leap, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), JBoss Core Services, Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Hyperion Infrastructure Technology, Apache HTTP Server
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 10 (Debian GNU/Linux)
  • 31 (Fedora)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 20.04 LTS (Ubuntu)
  • 1 (JBoss Core Services)
  • 15.2 (OpenSUSE Leap)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 8.8 (Sun ZFS Storage Appliance Kit)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
  • от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
  • 11.1.2.4 (Hyperion Infrastructure Technology)
  • от 2.4.20 до 2.4.43 включительно (Apache HTTP Server)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»), Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 07.08.2020
Базовый вектор уязвимости
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2020-11993
https://lists.apache.org/thread.html/r5debe8f82728a00a4a68bc904dd6c35423bdfc8d601cfb4579f38bf1@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r623de9b2b2433a87f3f3a15900419fc9c00c77b26936dfea4060f672@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/r9e9f1a7609760f0f80562eaaec2aa3c32d525c3e0fca98b475240c71@%3Cdev.httpd.apache.org%3E

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00068.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00071.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00081.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4NKWG2EXAQQB6LMLATKZ7KLSRGCSHVAN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ITVFDBVM6E3JF3O7RYLRPRCH3RDRHJJY/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4458-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11993

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-11993

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения