BDU:2023-06559: Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Microsoft Corp., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», АО «ИВК», Canonical Ltd., Willy Terreau, The Go Project, Google Inc., Eclipse Foundation, Apache Software Foundation, NGINX Inc., АО "НППКТ"

Наименование ПО

Windows, Red Hat Enterprise Linux, OpenShift Container Platform, H2O, Debian GNU/Linux, Openshift Service Mesh, РЕД ОС (запись в едином реестре российских программ №3751), ASP.NET Core, Альт 8 СП (запись в едином реестре российских программ №4305), Ubuntu, Red Hat OpenStack Platform, Microsoft Visual Studio, .NET, Red Hat Ceph Storage, Envoy, Cryostat, HAProxy, Go, gRPC, Jetty, netty, nghttp2, Apache Tomcat, Apache Traffic Server, NGINX Plus, NGINX Open Source, NGINX Ingress Controller, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

  • 1607 (Windows)
  • Server 2016 (Windows)
  • Server 2016 Server Core installation (Windows)
  • 10 1809 (Windows)
  • Server 2019 (Windows)
  • Server 2019 Server Core installation (Windows)
  • 8 (Red Hat Enterprise Linux)
  • 3.11 (OpenShift Container Platform)
  • до 2.2.6 (H2O)
  • 10 (Debian GNU/Linux)
  • 4 (OpenShift Container Platform)
  • 2 (Openshift Service Mesh)
  • Server 2022 (Windows)
  • Server 2022 Server Core installation (Windows)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 10 21H2 (Windows)
  • 6.0 (ASP.NET Core)
  • - (Альт 8 СП)
  • 22.04 LTS (Ubuntu)
  • 9 (Red Hat Enterprise Linux)
  • 16.2 (Red Hat OpenStack Platform)
  • 2022 17.2 (Microsoft Visual Studio)
  • 11 22H2 (Windows)
  • 10 22H2 (Windows)
  • 7.0 (.NET)
  • 6.0 (.NET)
  • 2022 17.4 (Microsoft Visual Studio)
  • 11 21H2 (Windows)
  • 17.0 (Red Hat OpenStack Platform)
  • 16.1 (Red Hat OpenStack Platform)
  • 5 (Red Hat Ceph Storage)
  • 23.04 (Ubuntu)
  • 2022 17.6 (Microsoft Visual Studio)
  • до 1.27.0 (Envoy)
  • 2 (Cryostat)
  • 2022 17.7 (Microsoft Visual Studio)
  • 17.1 (Red Hat OpenStack Platform)
  • 7.0 (ASP.NET Core)
  • 6 (Red Hat Ceph Storage)
  • 16.1 (OpenShift Container Platform)
  • 16.2 (OpenShift Container Platform)
  • 17.0 (OpenShift Container Platform)
  • 17.1 (OpenShift Container Platform)
  • до 1.9-dev (HAProxy)
  • до 1.21.3 (Go)
  • до 1.20.10 (Go)
  • до 1.59 (gRPC)
  • от 9.0.0 до 9.4.53.v20231009 (Jetty)
  • от 10.0.0 до 10.0.17 (Jetty)
  • от 11.0.0 до 11.0.17 (Jetty)
  • от 12.0.0 до 12.0.2 (Jetty)
  • до 4.1.100 (netty)
  • до 1.57.0 (nghttp2)
  • от 11.0.0 до 11.0.0-M12 (Apache Tomcat)
  • от 10.0.0 до 10.1.14 (Apache Tomcat)
  • от 9.0.0 до 9.0.81 (Apache Tomcat)
  • от 8.0.0 до 8.5.94 (Apache Tomcat)
  • до 9.2.0 (Apache Traffic Server)
  • от R25 до R30 включительно (NGINX Plus)
  • от 1.9.5 до 1.25.2 включительно (NGINX Open Source)
  • от 3.0.0 до 3.3.0 включительно (NGINX Ingress Controller)
  • от 2.0.0 до 2.4.2 включительно (NGINX Ingress Controller)
  • от 1.12.2 до 1.12.5 включительно (NGINX Ingress Controller)
  • до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства, Сетевое средство

Операционные системы и аппаратные платформы

  • Microsoft Corp. Windows 1607 64-bit
  • Microsoft Corp. Windows 1607 32-bit
  • Microsoft Corp. Windows Server 2016
  • Microsoft Corp. Windows Server 2016 Server Core installation
  • Microsoft Corp. Windows 10 1809 64-bit
  • Microsoft Corp. Windows 10 1809 32-bit
  • Microsoft Corp. Windows Server 2019
  • Microsoft Corp. Windows Server 2019 Server Core installation
  • Microsoft Corp. Windows 10 1809 ARM64
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Microsoft Corp. Windows Server 2022
  • Microsoft Corp. Windows Server 2022 Server Core installation
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • Microsoft Corp. Windows 10 21H2 64-bit
  • Microsoft Corp. Windows 10 21H2 32-bit
  • Microsoft Corp. Windows 10 21H2 ARM64
  • АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305)
  • Canonical Ltd. Ubuntu 22.04 LTS
  • Red Hat Inc. Red Hat Enterprise Linux 9
  • Microsoft Corp. Windows 11 22H2 64-bit
  • Microsoft Corp. Windows 11 22H2 ARM64
  • Microsoft Corp. Windows 10 22H2 64-bit
  • Microsoft Corp. Windows 10 22H2 ARM64
  • Microsoft Corp. Windows 10 22H2 32-bit
  • Microsoft Corp. Windows 11 21H2 64-bit
  • Microsoft Corp. Windows 11 21H2 ARM64
  • Canonical Ltd. Ubuntu 23.04
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.9 (запись в едином реестре российских программ №5913)

Тип ошибки

Неконтролируемый расход ресурса («Истощение ресурса»)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

10.10.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4
Результаты тестирования обновлений:
  • Накопительное обновление Windows 10 22H2 для x32 систем (KB5031356)
  • Обновление Apache Tomcat
  • Накопительное обновление Microsoft Server 2022 21H2 для x64 систем (KB5031364)
  • Накопительное обновление Windows 10 1809 для x64 систем (KB5031361)
  • Накопительное обновление Windows 11 для x64 систем (KB5031358)
  • Накопительное обновление Windows Server 2016 для х64 систем (KB5031362)
  • Накопительное обновление Windows Server 2019 для x64 систем (KB5031361)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Go
  • Обновление Go
  • Обновление Apache Tomcat
  • Обновление Apache Tomcat
  • Обновление Go
  • Статус уязвимости

    Подтверждена производителем

    Наличие эксплойта

    Существует

    Способ эксплуатации

    • Исчерпание ресурсов

    Способ устранения

    Обновление программного обеспечения

    Информация об устранении

    Уязвимость устранена

    Ссылки на источники

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
    https://ubuntu.com/security/notices/USN-6427-1
    https://security-tracker.debian.org/tracker/CVE-2023-44487
    https://access.redhat.com/security/cve/CVE-2023-44487
    https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
    https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
    http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
    https://github.com/envoyproxy/envoy/pull/30055
    https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
    https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
    https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
    https://github.com/grpc/grpc-go/pull/6703
    https://github.com/eclipse/jetty.project/issues/10679
    https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
    https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
    https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
    https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
    https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
    https://github.com/nghttp2/nghttp2/pull/1961
    https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
    https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
    https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
    https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
    https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
    https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
    http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
    https://altsp.su/obnovleniya-bezopasnosti/
    https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/

    Идентификаторы других систем описаний уязвимостей

    Прочая информация

    Данные уточняются
    Последние изменения