BDU:2023-06559: Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Microsoft Corp., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», АО «ИВК», Canonical Ltd., Willy Terreau, The Go Project, Google Inc., Eclipse Foundation, Apache Software Foundation, NGINX Inc., АО "НППКТ"
Наименование ПО Windows, Red Hat Enterprise Linux, OpenShift Container Platform, H2O, Debian GNU/Linux, Openshift Service Mesh, РЕД ОС (запись в едином реестре российских программ №3751), ASP.NET Core, Альт 8 СП (запись в едином реестре российских программ №4305), Ubuntu, Red Hat OpenStack Platform, Microsoft Visual Studio, .NET, Red Hat Ceph Storage, Envoy, Cryostat, HAProxy, Go, gRPC, Jetty, netty, nghttp2, Apache Tomcat, Apache Traffic Server, NGINX Plus, NGINX Open Source, NGINX Ingress Controller, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 1607 (Windows), Server 2016 (Windows), Server 2016 Server Core installation (Windows), 10 1809 (Windows), Server 2019 (Windows), Server 2019 Server Core installation (Windows), 8 (Red Hat Enterprise Linux), 3.11 (OpenShift Container Platform), до 2.2.6 (H2O), 10 (Debian GNU/Linux), 4 (OpenShift Container Platform), 2 (Openshift Service Mesh), Server 2022 (Windows), Server 2022 Server Core installation (Windows), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 7.3 (РЕД ОС), 10 21H2 (Windows), 6.0 (ASP.NET Core), - (Альт 8 СП), 22.04 LTS (Ubuntu), 9 (Red Hat Enterprise Linux), 16.2 (Red Hat OpenStack Platform), 2022 17.2 (Microsoft Visual Studio), 11 22H2 (Windows), 10 22H2 (Windows), 7.0 (.NET), 6.0 (.NET), 2022 17.4 (Microsoft Visual Studio), 11 21H2 (Windows), 17.0 (Red Hat OpenStack Platform), 16.1 (Red Hat OpenStack Platform), 5 (Red Hat Ceph Storage), 23.04 (Ubuntu), 2022 17.6 (Microsoft Visual Studio), до 1.27.0 (Envoy), 2 (Cryostat), 2022 17.7 (Microsoft Visual Studio), 17.1 (Red Hat OpenStack Platform), 7.0 (ASP.NET Core), 6 (Red Hat Ceph Storage), 16.1 (OpenShift Container Platform), 16.2 (OpenShift Container Platform), 17.0 (OpenShift Container Platform), 17.1 (OpenShift Container Platform), до 1.9-dev (HAProxy), до 1.21.3 (Go), до 1.20.10 (Go), до 1.59 (gRPC), от 9.0.0 до 9.4.53.v20231009 (Jetty), от 10.0.0 до 10.0.17 (Jetty), от 11.0.0 до 11.0.17 (Jetty), от 12.0.0 до 12.0.2 (Jetty), до 4.1.100 (netty), до 1.57.0 (nghttp2), от 11.0.0 до 11.0.0-M12 (Apache Tomcat), от 10.0.0 до 10.1.14 (Apache Tomcat), от 9.0.0 до 9.0.81 (Apache Tomcat), от 8.0.0 до 8.5.94 (Apache Tomcat), до 9.2.0 (Apache Traffic Server), от R25 до R30 включительно (NGINX Plus), от 1.9.5 до 1.25.2 включительно (NGINX Open Source), от 3.0.0 до 3.3.0 включительно (NGINX Ingress Controller), от 2.0.0 до 2.4.2 включительно (NGINX Ingress Controller), от 1.12.2 до 1.12.5 включительно (NGINX Ingress Controller), до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства, Сетевое средство
Операционные системы и аппаратные платформы
  • Microsoft Corp. Windows 1607 64-bit
  • Microsoft Corp. Windows 1607 32-bit
  • Microsoft Corp. Windows Server 2016 Не указана
  • Microsoft Corp. Windows Server 2016 Server Core installation Не указана
  • Microsoft Corp. Windows 10 1809 64-bit
  • Microsoft Corp. Windows 10 1809 32-bit
  • Microsoft Corp. Windows Server 2019 Не указана
  • Microsoft Corp. Windows Server 2019 Server Core installation Не указана
  • Microsoft Corp. Windows 10 1809 ARM64
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Microsoft Corp. Windows Server 2022 Не указана
  • Microsoft Corp. Windows Server 2022 Server Core installation Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12 Не указана
  • ООО «Ред Софт» РЕД ОС 7.3 Не указана (запись в едином реестре российских программ №3751)
  • Microsoft Corp. Windows 10 21H2 64-bit
  • Microsoft Corp. Windows 10 21H2 32-bit
  • Microsoft Corp. Windows 10 21H2 ARM64
  • АО «ИВК» Альт 8 СП - Не указана (запись в едином реестре российских программ №4305)
  • Canonical Ltd. Ubuntu 22.04 LTS Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 9 Не указана
  • Microsoft Corp. Windows 11 22H2 64-bit
  • Microsoft Corp. Windows 11 22H2 ARM64
  • Microsoft Corp. Windows 10 22H2 64-bit
  • Microsoft Corp. Windows 10 22H2 ARM64
  • Microsoft Corp. Windows 10 22H2 32-bit
  • Microsoft Corp. Windows 11 21H2 64-bit
  • Microsoft Corp. Windows 11 21H2 ARM64
  • Canonical Ltd. Ubuntu 23.04 Не указана
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.9 Не указана (запись в едином реестре российских программ №5913)
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки CWE-400
Класс уязвимости Уязвимость кода
Дата выявления 10.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4
Результаты тестирования обновлений:
  • Накопительное обновление Windows 10 22H2 для x32 систем (KB5031356)
  • Обновление Apache Tomcat
  • Накопительное обновление Microsoft Server 2022 21H2 для x64 систем (KB5031364)
  • Накопительное обновление Windows 10 1809 для x64 систем (KB5031361)
  • Накопительное обновление Windows 11 для x64 систем (KB5031358)
  • Накопительное обновление Windows Server 2016 для х64 систем (KB5031362)
  • Накопительное обновление Windows Server 2019 для x64 систем (KB5031361)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Visual Studio 2022 (KB5007364)
  • Обновление Go
  • Обновление Go
  • Обновление Apache Tomcat
  • Обновление Apache Tomcat
  • Обновление Go
  • Статус уязвимости Подтверждена производителем
    Наличие эксплойта Существует
    Способ эксплуатации
    • Исчерпание ресурсов
    Способ устранения Обновление программного обеспечения
    Информация об устранении Уязвимость устранена
    Ссылки на источники
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487 https://ubuntu.com/security/notices/USN-6427-1 https://security-tracker.debian.org/tracker/CVE-2023-44487 https://access.redhat.com/security/cve/CVE-2023-44487 https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/ https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc https://github.com/envoyproxy/envoy/pull/30055 https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe https://github.com/grpc/grpc-go/pull/6703 https://github.com/eclipse/jetty.project/issues/10679 https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2 https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009 https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61 https://github.com/nghttp2/nghttp2/pull/1961 https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0 https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94 https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
    Идентификаторы других систем описаний уязвимостей
    Прочая информация Данные уточняются