BDU:2019-03647: Уязвимость сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, программной платформы Node.js, связанная с недостатком механизма контроля расхода ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость сетевого протокола HTTP/2 веб-сервера Apache Traffic Server, программной платформы Node.js связана с ошибками в работе механизма контроля расхода ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании через специально настроенное окно HTTP/2
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Node.js Foundation, Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, Node.js, Apache Traffic Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 9.0 (Debian GNU/Linux), 29 (Fedora), 19.04 (Ubuntu), 30 (Fedora), 10.0 (Debian GNU/Linux), до 8.16.1 (Node.js), до 10.16.3 (Node.js), до 12.8.1 (Node.js), от 6.0.0 до 6.2.3 включительно (Apache Traffic Server), от 7.0.0 до 7.1.6 включительно (Apache Traffic Server), от 8.0 до 8.3 включительно (Apache Traffic Server), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Apple Inc. Mac OS . Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Fedora Project Fedora 29 Не указана
  • Canonical Ltd. Ubuntu 19.04 Не указана
  • Fedora Project Fedora 30 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки CWE-400
Класс уязвимости Уязвимость кода
Дата выявления 10.04.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread.html/ec97fdfc1a859266e56fef084353a34e0a0b08901b3c1aa317a43c8c@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/d89f999e26dfb1d50f247ead1fe8538014eb412b2dbe5be4b1a9ef50@%3Cdev.httpd.apache.org%3E
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba@%3Ccvs.httpd.apache.org%3E
https://lists.apache.org/thread.html/4610762456644181b267c846423b3a990bd4aaea1886ecc7d51febdb@%3Cannounce.httpd.apache.org%3E



Для Debian:

Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии



Для Ubuntu:

https://usn.ubuntu.com/4113-1/



Для Node.js:

https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/



Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ZQGHE3WTYLYAYJEIDJVF2FIGQTAYPMC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CMNFX5MNYRWWIMO4BTKYQCGUDMHO3AXP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются