Куда я попал?
BDU:2025-04696
CVSS: 7.5
13.07.2023
Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 позволяющая нарушителю вызвать отказ в обслуживании
Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 связана с неконтролируемым использованием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
Дата выявления: | 13.07.2023 |
Класс уязвимости: | Уязвимость кода |
Наличие эксплойта: | Существует в открытом доступе |
Способ эксплуатации: | Данные уточняются |
Способ устранения: | Нет данных |
Меры по устранению: | Использование рекомендаций: Для nghttp2: https://github.com/nghttp2/nghttp2/releases/tag/v1.55.1 Для Envoy: https://github.com/envoyproxy/envoy/releases/tag/v1.26.3 https://github.com/envoyproxy/envoy/releases/tag/v1.25.8 https://github.com/envoyproxy/envoy/releases/tag/v1.24.9 https://github.com/envoyproxy/envoy/releases/tag/v1.23.11 Компенсирующие меры: В случае невозможности установки обновлений рекомендуется отключить использование протокола HTTP/2. Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/ |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор | Описание |
---|---|
CWE-400 | Неконтролируемое использование ресурсов (исчерпание ресурсов) |
CWE-459 | CWE-459: Incomplete Cleanup |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор | Описание |
---|---|
CVE-2023-35945 | Envoy vulnerable to HTTP/2 memory leak in nghttp2 codec |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
Идентификатор | Дата бюллетеня | Описание |
---|---|---|
VULN:20250730-15 | 30.07.2025 | Отказ в обслуживании в Schneider Electric EcoStruxure Power Operation |
CVSS
Система общей оценки уязвимостей
Оценка | Severity | Версия | Базовый вектор |
---|---|---|---|
7.8 | HIGH | 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:C |
7.5 | HIGH | 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-35945
Вендор: |
|
Тип ПО: |
|
Наименование ПО: |
|
Версия ПО: |
|
ОС и аппаратные платформы: |
|
Ссылки на источники: |
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.