СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.10.2023

Уязвимость BDU:2023-06559

Уязвимость BDU:2023-06559

Идентификатор: BDU:2023-06559.

Наименование уязвимости: Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Microsoft Corp Windows 10 1607 — | Операционная система Microsoft Corp Windows 10 1607 — | Операционная система Microsoft Corp Windows Server 2016 — | Операционная система Microsoft Corp Windows Server 2016 (Server Core installation) — | Операционная система Microsoft Corp Windows 10 1809 — | Операционная система Microsoft Corp Windows 10 1809 — | Операционная система Microsoft Corp Windows Server 2019 — | Операционная система Microsoft Corp Windows Server 2019 (Server Core installation) — | Операционная система Microsoft Corp Windows 10 1809 — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Операционная система Novell Inc. OpenSUSE Leap 15.5 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 12 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP5 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Сетевое программное средство H2O до 2.2.6 | Операционная система Debian GNU/Linux 10 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 | Операционная система Novell Inc. openSUSE Tumbleweed — | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4 | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 4.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-LTSS | Прикладное ПО информационных систем Red Hat Inc. Openshift Service Mesh 2 | Операционная система Microsoft Corp Windows Server 2022 — | Операционная система Microsoft Corp Windows Server 2022 (Server Core installation) — | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Microsoft Corp Windows 10 21H2 — | Операционная система Microsoft Corp Windows 10 21H2 — | Операционная система Microsoft Corp Windows 10 21H2 — | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.2 | Прикладное ПО информационных систем Microsoft Corp ASP.NET Core 6.0 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.1 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.2 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 16.2 | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP4 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система Microsoft Corp Windows 11 22H2 — | Операционная система Microsoft Corp Windows 11 22H2 — | Операционная система Microsoft Corp Windows 10 22H2 — | Операционная система Microsoft Corp Windows 10 22H2 — | Операционная система Microsoft Corp Windows 10 22H2 — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.3 | Операционная система Novell Inc. openSUSE Leap Micro 5.3 | Прикладное ПО информационных систем Microsoft Corp .NET 7.0 | Прикладное ПО информационных систем Microsoft Corp .NET 6.0 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.4 | Операционная система Microsoft Corp Windows 11 21H2 — | Операционная система Microsoft Corp Windows 11 21H2 — | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 17.0 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 16.1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3-LTSS | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 5 | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 | Операционная система Fedora Project Fedora 38 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Package Hub 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Public Cloud 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.4 | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Операционная система Canonical Ltd. Ubuntu 23.04 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.6 | Операционная система Novell Inc. openSUSE Leap Micro 5.4 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP5 | Сетевое программное средство Envoy до 1.27.0 | Прикладное ПО информационных систем Red Hat Inc. Cryostat 2 | Прикладное ПО информационных систем Microsoft Corp Microsoft Visual Studio 2022 17.7 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 17.1 | Прикладное ПО информационных систем Microsoft Corp ASP.NET Core 7.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 6 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 16.1 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 16.2 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 17.0 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 17.1 | Прикладное ПО информационных систем Willy Terreau HAProxy до 1.9-dev | Прикладное ПО информационных систем The Go Project Go до 1.21.3 | Прикладное ПО информационных систем The Go Project Go до 1.20.10 | Прикладное ПО информационных систем Google Inc gRPC до 1.59 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 9.0.0 до 9.4.53.v20231009 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 10.0.0 до 10.0.17 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 11.0.0 до 11.0.17 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 12.0.0 до 12.0.2 | Сетевое программное средство Apache Software Foundation netty до 4.1.100 | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство nghttp2 до 1.57.0 | Сетевое программное средство Apache Software Foundation Tomcat от 11.0.0 до 11.0.0-M12 | Сетевое программное средство Apache Software Foundation Tomcat от 10.0.0 до 10.1.14 | Сетевое программное средство Apache Software Foundation Tomcat от 9.0.0 до 9.0.81 | Сетевое программное средство Apache Software Foundation Tomcat от 8.0.0 до 8.5.94 | Сетевое программное средство Apache Software Foundation Traffic Server до 9.2.0 | Сетевое средство, Сетевое программное средство NGINX Inc. NGINX Plus от R25 до R30 включительно | Сетевое средство, Сетевое программное средство NGINX Inc. NGINX Open Source от 1.9.5 до 1.25.2 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 3.0.0 до 3.3.0 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 2.0.0 до 2.4.2 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 1.12.2 до 1.12.5 включительно | Операционная система АО «ИВК» АЛЬТ СП 10 — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 5.5 | Операционная система Novell Inc. openSUSE Leap Micro 5.5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 15 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 15 SP5 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.9 | Операционная система Novell Inc. SUSE Liberty Linux 9 | Операционная система Novell Inc. SUSE Liberty Linux 8 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP4-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP4-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Containers 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP6 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP6 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP6 | Операционная система Novell Inc. OpenSUSE Leap 15.6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Server Applications 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Package Hub 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Containers 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 15 SP6 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP5-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP5-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Python 3 15 SP5 | Операционная система, Прикладное ПО информационных систем АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP7 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP7 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Server Applications 15 SP7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Containers 15 SP7 | Прикладное ПО информационных систем, Программное средство защиты Axiom JDK Libercat Certified до 9.0.88-2 | Прикладное ПО информационных систем, Программное средство защиты Axiom JDK Libercat Certified до 10.1.20-2 | Операционная система, Прикладное ПО информационных систем Novell Inc. SUSE Linux Micro 6.0 | Операционная система, Прикладное ПО информационных систем Novell Inc. SUSE Linux Micro 6.1 | Прикладное ПО информационных систем Fedora Project Fedora EPEL epel8 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 15 SP7 | Прикладное ПО информационных систем ООО «Веб-Сервер» Angie до 1.3.1 | Прикладное ПО информационных систем ООО «Веб-Сервер» Angie PRO до 1.3.1 |

Наименование ОС и тип аппаратной платформы: Windows 10 1607 — 64-bit | Windows 10 1607 — 32-bit | Windows Server 2016 — | Windows Server 2016 (Server Core installation) — | Windows 10 1809 — 64-bit | Windows 10 1809 — 32-bit | Windows Server 2019 — | Windows Server 2019 (Server Core installation) — | Windows 10 1809 — ARM64 | Astra Linux Special Edition 16 «Смоленск» | SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | OpenSUSE Leap 155 | Suse Linux Enterprise Server 12 SP3 | Suse Linux Enterprise Server 12 SP4 | Red Hat Enterprise Linux 8 | SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Debian GNU/Linux 10 | SUSE Linux Enterprise Server for SAP Applications 12 | openSUSE Tumbleweed — | Suse Linux Enterprise Server 15 SP1-LTSS | Windows Server 2022 — | Windows Server 2022 (Server Core installation) — | Debian GNU/Linux 11 | Debian GNU/Linux 12 | Suse Linux Enterprise Server 12 | РЕД ОС 73 | Windows 10 21H2 — 64-bit | Windows 10 21H2 — 32-bit | Windows 10 21H2 — ARM64 | OpenSUSE Leap 154 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Альт 8 СП — | Suse Linux Enterprise Server 15 SP4 | Suse Linux Enterprise Desktop 15 SP4 | SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Ubuntu 2204 LTS | Red Hat Enterprise Linux 9 | Suse Linux Enterprise Server 15 SP2-LTSS | Astra Linux Special Edition 47 ARM | Windows 11 22H2 — 64-bit | Windows 11 22H2 — ARM64 | Windows 10 22H2 — 64-bit | Windows 10 22H2 — ARM64 | Windows 10 22H2 — 32-bit | openSUSE Leap Micro 53 | Windows 11 21H2 — 64-bit | Windows 11 21H2 — ARM64 | Suse Linux Enterprise Server 15 SP3-LTSS | РОСА Кобальт 79 | Fedora 38 | SUSE Linux Enterprise Server for SAP Applications 15 SP5 | Suse Linux Enterprise Server 15 SP5 | Suse Linux Enterprise Desktop 15 SP5 | ROSA Virtualization 21 | Ubuntu 2304 | openSUSE Leap Micro 54 | РОСА ХРОМ 124 | АЛЬТ СП 10 — | openSUSE Leap Micro 55 | ОСОН ОСнова Оnyx до 29 | SUSE Liberty Linux 9 | SUSE Liberty Linux 8 | Suse Linux Enterprise Server 15 SP4-LTSS | Suse Linux Enterprise Desktop 15 SP6 | Suse Linux Enterprise Server 15 SP6 | SUSE Linux Enterprise Server for SAP Applications 15 SP6 | OpenSUSE Leap 156 | Suse Linux Enterprise Server 15 SP5-LTSS | ROSA Virtualization 3.0 30 | Suse Linux Enterprise Desktop 15 SP7 | Suse Linux Enterprise Server 15 SP7 | SUSE Linux Enterprise Server for SAP Applications 15 SP7 | SUSE Linux Micro 60 | SUSE Linux Micro 61 | ОС Аврора до 514 включительно |
Дата выявления: 10.10.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4

Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
— обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
— обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

https://altsp.su/obnovleniya-bezopasnosti/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2831

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2895

Для Libercat Certified:
Обновление ПО до актуальной версии

Для ОС Аврора: https://cve.omp.ru/bb27514

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D

Для Fedora EPEL:
https://bugzilla.redhat.com/show_bug.cgi?id=2243324

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-44487.html

Для Angie:
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-44487.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
https://ubuntu.com/security/notices/USN-6427-1
https://security-tracker.debian.org/tracker/CVE-2023-44487
https://access.redhat.com/security/cve/CVE-2023-44487
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
https://github.com/envoyproxy/envoy/pull/30055
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
https://github.com/grpc/grpc-go/pull/6703
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://github.com/micrictor/http2-rst-stream
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
https://abf.rosa.ru/advisories/ROSA-SA-2025-2740
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

https://altsp.su/obnovleniya-bezopasnosti/
https://abf.rosa.ru/advisories/ROSA-SA-2025-2831
https://abf.rosa.ru/advisories/ROSA-SA-2025-2830
https://abf.rosa.ru/advisories/ROSA-SA-2025-2852
https://abf.rosa.ru/advisories/ROSA-SA-2025-2895
https://cve.omp.ru/bb27514
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D
https://bugzilla.redhat.com/show_bug.cgi?id=2243324
https://www.suse.com/security/cve/CVE-2023-44487.html
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: