BDU:2019-04287: Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Oracle Corp., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО Enterprise Manager Ops Center, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, OpenSUSE Leap, SUSE Linux Enterprise Module for Server Applications, Apache HTTP Server, SUSE Linux Enterprise High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 12.3.3 (Enterprise Manager Ops Center), 1.6 «Смоленск» (Astra Linux Special Edition), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Software Development Kit), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 12 SP4 (Suse Linux Enterprise Server), 15.0 (OpenSUSE Leap), 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15.1 (OpenSUSE Leap), 15 SP1 (SUSE Linux Enterprise Module for Server Applications), 15 (SUSE Linux Enterprise Module for Server Applications), 12 SP5 (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise Software Development Kit), 12.4.0 (Enterprise Manager Ops Center), от 2.4.18 до 2.4.39 включительно (Apache HTTP Server), 12 SP5 (SUSE Linux Enterprise High Performance Computing), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 12.4.0.0 (Enterprise Manager Ops Center), 1.0 (ОС ОН «Стрелец»)
Тип ПО Сетевое программное средство, ПО программно-аппаратного средства, Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки CWE-416
Класс уязвимости Уязвимость кода
Дата выявления 12.04.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Обновление веб-сервера Apache HTTP Server до версии 2.4.41 или новее

Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10082/

Для Debian:
Обновление программного обеспечения (пакета apache2) до 2.4.25-3+deb9u8 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета apache2) до 2.4.10-10+deb8u16 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются