Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-06559

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2023-06559
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2023-06559

CVSS: 7.5
10.10.2023

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 10.10.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Исчерпание ресурсов
Способ устранения: Нет данных
Меры по устранению: Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4

Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-400 Неконтролируемое использование ресурсов (исчерпание ресурсов)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-44487 The HTTP/2 protocol allows a denial of service (server resource consumption) because request cancellation can reset many stre...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.8 HIGH 2.0 AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-44487
Вендор:
  • Microsoft Corp.
  • ООО «РусБИТех-Астра»
  • Red Hat Inc.
  • Сообщество свободного программного обеспечения
  • ООО «Ред Софт»
  • АО «ИВК»
  • Canonical Ltd.
  • АО «НТЦ ИТ РОСА»
  • Willy Terreau
  • The Go Project
  • Google Inc.
  • Eclipse Foundation
  • Apache Software Foundation
  • NGINX Inc.
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
  • Сетевое программное средство
  • ПО программно-аппаратного средства
  • Сетевое средство
Наименование ПО:
  • Windows
  • Astra Linux Special Edition
  • Red Hat Enterprise Linux
  • OpenShift Container Platform
  • H2O
  • Debian GNU/Linux
  • Openshift Service Mesh
  • РЕД ОС
  • ASP.NET Core
  • Альт 8 СП
  • Ubuntu
  • Red Hat OpenStack Platform
  • Microsoft Visual Studio
  • .NET
  • Red Hat Ceph Storage
  • РОСА Кобальт
  • РОСА ХРОМ
  • Envoy
  • Cryostat
  • HAProxy
  • Go
  • gRPC
  • Jetty
  • netty
  • nghttp2
  • Apache Tomcat
  • Apache Traffic Server
  • NGINX Plus
  • NGINX Open Source
  • NGINX Ingress Controller
  • АЛЬТ СП 10
  • ОСОН ОСнова Оnyx
  • ROSA Virtualization 3.0
Версия ПО:
  • 1607 (Windows)
  • Server 2016 (Windows)
  • Server 2016 Server Core installation (Windows)
  • 10 1809 (Windows)
  • Server 2019 (Windows)
  • Server 2019 Server Core installation (Windows)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 3.11 (OpenShift Container Platform)
  • до 2.2.6 (H2O)
  • 10 (Debian GNU/Linux)
  • 4 (OpenShift Container Platform)
  • 2 (Openshift Service Mesh)
  • Server 2022 (Windows)
  • Server 2022 Server Core installation (Windows)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 10 21H2 (Windows)
  • 6.0 (ASP.NET Core)
  • - (Альт 8 СП)
  • 22.04 LTS (Ubuntu)
  • 9 (Red Hat Enterprise Linux)
  • 16.2 (Red Hat OpenStack Platform)
  • 2022 17.2 (Microsoft Visual Studio)
  • 4.7 (Astra Linux Special Edition)
  • 11 22H2 (Windows)
  • 10 22H2 (Windows)
  • 7.0 (.NET)
  • 6.0 (.NET)
  • 2022 17.4 (Microsoft Visual Studio)
  • 11 21H2 (Windows)
  • 17.0 (Red Hat OpenStack Platform)
  • 16.1 (Red Hat OpenStack Platform)
  • 5 (Red Hat Ceph Storage)
  • 7.9 (РОСА Кобальт)
  • 23.04 (Ubuntu)
  • 2022 17.6 (Microsoft Visual Studio)
  • 12.4 (РОСА ХРОМ)
  • до 1.27.0 (Envoy)
  • 2 (Cryostat)
  • 2022 17.7 (Microsoft Visual Studio)
  • 17.1 (Red Hat OpenStack Platform)
  • 7.0 (ASP.NET Core)
  • 6 (Red Hat Ceph Storage)
  • 16.1 (OpenShift Container Platform)
  • 16.2 (OpenShift Container Platform)
  • 17.0 (OpenShift Container Platform)
  • 17.1 (OpenShift Container Platform)
  • до 1.9-dev (HAProxy)
  • до 1.21.3 (Go)
  • до 1.20.10 (Go)
  • до 1.59 (gRPC)
  • от 9.0.0 до 9.4.53.v20231009 (Jetty)
  • от 10.0.0 до 10.0.17 (Jetty)
  • от 11.0.0 до 11.0.17 (Jetty)
  • от 12.0.0 до 12.0.2 (Jetty)
  • до 4.1.100 (netty)
  • до 1.57.0 (nghttp2)
  • от 11.0.0 до 11.0.0-M12 (Apache Tomcat)
  • от 10.0.0 до 10.1.14 (Apache Tomcat)
  • от 9.0.0 до 9.0.81 (Apache Tomcat)
  • от 8.0.0 до 8.5.94 (Apache Tomcat)
  • до 9.2.0 (Apache Traffic Server)
  • от R25 до R30 включительно (NGINX Plus)
  • от 1.9.5 до 1.25.2 включительно (NGINX Open Source)
  • от 3.0.0 до 3.3.0 включительно (NGINX Ingress Controller)
  • от 2.0.0 до 2.4.2 включительно (NGINX Ingress Controller)
  • от 1.12.2 до 1.12.5 включительно (NGINX Ingress Controller)
  • - (АЛЬТ СП 10)
  • до 2.9 (ОСОН ОСнова Оnyx)
  • 3.0 (ROSA Virtualization 3.0)
ОС и аппаратные платформы:
  • Windows (1607)
  • Windows (Server 2016)
  • Windows (Server 2016 Server Core installation)
  • Windows (10 1809)
  • Windows (Server 2019)
  • Windows (Server 2019 Server Core installation)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Red Hat Enterprise Linux (8)
  • Debian GNU/Linux (10)
  • Windows (Server 2022)
  • Windows (Server 2022 Server Core installation)
  • Debian GNU/Linux (11)
  • Debian GNU/Linux (12)
  • РЕД ОС (7.3)
  • Windows (10 21H2)
  • Альт 8 СП (-)
  • Ubuntu (22.04 LTS)
  • Red Hat Enterprise Linux (9)
  • Astra Linux Special Edition (4.7)
  • Windows (11 22H2)
  • Windows (10 22H2)
  • Windows (11 21H2)
  • РОСА Кобальт (7.9)
  • Ubuntu (23.04)
  • РОСА ХРОМ (12.4)
  • АЛЬТ СП 10 (-)
  • ОСОН ОСнова Оnyx (до 2.9)
  • ROSA Virtualization 3.0 (3.0)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.