Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2019-02994

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2019-02994
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2019-02994

CVSS: 7.5
13.08.2019

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 13.08.2019
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Исчерпание ресурсов
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9511

Для Node.js:
https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

Для nginx:
http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html

Для Debian:
Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00005.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00014.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZLUYPYY3RX4ZJDWZRJIKSULYRJ4PXW7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-400 Неконтролируемое использование ресурсов (исчерпание ресурсов)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2019-9511 Some HTTP/2 implementations are vulnerable to window size manipulation and stream prioritization manipulation, potentially le...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.8 HIGH 2.0 AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2019-9511
Вендор:
  • Microsoft Corp.
  • Сообщество свободного программного обеспечения
  • ООО «РусБИТех-Астра»
  • Fedora Project
  • Red Hat Inc.
  • Novell Inc.
  • Node.js Foundation
  • NGINX Inc.
  • Oracle Corp.
  • АО "НППКТ"
  • АО «Концерн ВНИИНС»
Тип ПО:
  • Операционная система
  • Сетевое программное средство
Наименование ПО:
  • Windows
  • Debian GNU/Linux
  • Astra Linux Special Edition
  • Fedora
  • Red Hat Enterprise Linux
  • OpenSUSE Leap
  • Node.js
  • nginx
  • Astra Linux Special Edition для «Эльбрус»
  • Oracle Communications Session Border Controller
  • Enterprise Communications Broker
  • ОСОН ОСнова Оnyx
  • ОС ОН «Стрелец»
Версия ПО:
  • 10 (Windows)
  • 10 1607 (Windows)
  • 10 1703 (Windows)
  • Server 2016 (Windows)
  • Server 2016 Server Core installation (Windows)
  • 9 (Debian GNU/Linux)
  • 10 1709 (Windows)
  • 10 1803 (Windows)
  • Server 1803 Server Core Installation (Windows)
  • 10 1809 (Windows)
  • Server 2019 (Windows)
  • Server 2019 Server Core installation (Windows)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 29 (Fedora)
  • 10 1903 (Windows)
  • Server 1903 Server Core Installation (Windows)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • до 8.16.1 (Node.js)
  • до 10.16.3 (Node.js)
  • до 12.8.1 (Node.js)
  • до 1.17.3 (nginx)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.3 (Oracle Communications Session Border Controller)
  • 8.4 (Oracle Communications Session Border Controller)
  • 3.1 (Enterprise Communications Broker)
  • 3.2 (Enterprise Communications Broker)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
  • до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:
  • Windows (10)
  • Windows (10 1607)
  • Windows (10 1703)
  • Windows (Server 2016)
  • Windows (Server 2016 Server Core installation)
  • Debian GNU/Linux (9)
  • Windows (10 1709)
  • Windows (10 1803)
  • Windows (Server 1803 Server Core Installation)
  • Windows (10 1809)
  • Windows (Server 2019)
  • Windows (Server 2019 Server Core installation)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Debian GNU/Linux (8.0)
  • Fedora (29)
  • Windows (10 1903)
  • Windows (Server 1903 Server Core Installation)
  • Red Hat Enterprise Linux (8)
  • OpenSUSE Leap (15.0)
  • OpenSUSE Leap (15.1)
  • Fedora (30)
  • Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)
  • ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.