Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2025-04696

CVSS: 7.5
13.07.2023

Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 связана с неконтролируемым использованием ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 13.07.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Данные уточняются
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для nghttp2:
https://github.com/nghttp2/nghttp2/releases/tag/v1.55.1

Для Envoy:
https://github.com/envoyproxy/envoy/releases/tag/v1.26.3
https://github.com/envoyproxy/envoy/releases/tag/v1.25.8
https://github.com/envoyproxy/envoy/releases/tag/v1.24.9
https://github.com/envoyproxy/envoy/releases/tag/v1.23.11

Компенсирующие меры:
В случае невозможности установки обновлений рекомендуется отключить использование протокола HTTP/2.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-400 Неконтролируемое использование ресурсов (исчерпание ресурсов)
CWE-459 CWE-459: Incomplete Cleanup

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-35945 Envoy vulnerable to HTTP/2 memory leak in nghttp2 codec

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250730-15 30.07.2025 Отказ в обслуживании в Schneider Electric EcoStruxure Power Operation

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.8 HIGH 2.0 AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-35945
Вендор:
  • АО «ИВК»
  • Сообщество свободного программного обеспечения
Тип ПО:
  • Операционная система
  • Сетевое средство
  • Прикладное ПО информационных систем
  • Сетевое программное средство
Наименование ПО:
  • Альт 8 СП
  • nghttp2
  • Envoy
Версия ПО:
  • - (Альт 8 СП)
  • до 1.55.1 (nghttp2)
  • от 1.26.0 до 1.26.3 (Envoy)
  • от 1.25.0 до 1.25.8 (Envoy)
  • от 1.24.0 до 1.24.9 (Envoy)
  • до 1.23.11 (Envoy)
ОС и аппаратные платформы:
  • Альт 8 СП (-)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.