СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.10.2023
#Dev#ИБ

Уязвимость BDU:2023-06559

Уязвимость BDU:2023-06559

Идентификатор: BDU:2023-06559.

Наименование уязвимости: Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Microsoft Corp. Windows 1607 | Операционная система Microsoft Corp. Windows 1607 | Операционная система Microsoft Corp. Windows Server 2016 | Операционная система Microsoft Corp. Windows Server 2016 Server Core installation | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows Server 2019 | Операционная система Microsoft Corp. Windows Server 2019 Server Core installation | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Сетевое программное средство H2O до 2.2.6 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4 | Прикладное ПО информационных систем Red Hat Inc. Openshift Service Mesh 2 | Операционная система Microsoft Corp. Windows Server 2022 | Операционная система Microsoft Corp. Windows Server 2022 Server Core installation | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Прикладное ПО информационных систем Microsoft Corp. ASP.NET Core 6.0 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 16.2 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2022 17.2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система Microsoft Corp. Windows 11 22H2 | Операционная система Microsoft Corp. Windows 11 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Операционная система Microsoft Corp. Windows 10 22H2 | Прикладное ПО информационных систем Microsoft Corp. .NET 7.0 | Прикладное ПО информационных систем Microsoft Corp. .NET 6.0 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2022 17.4 | Операционная система Microsoft Corp. Windows 11 21H2 | Операционная система Microsoft Corp. Windows 11 21H2 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 17.0 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 16.1 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 5 | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 | Операционная система Canonical Ltd. Ubuntu 23.04 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2022 17.6 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 | Сетевое программное средство Envoy до 1.27.0 | Прикладное ПО информационных систем Red Hat Inc. Cryostat 2 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2022 17.7 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 17.1 | Прикладное ПО информационных систем Microsoft Corp. ASP.NET Core 7.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 6 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 16.1 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 16.2 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 17.0 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 17.1 | Прикладное ПО информационных систем Willy Terreau HAProxy до 1.9-dev | Прикладное ПО информационных систем The Go Project Go до 1.21.3 | Прикладное ПО информационных систем The Go Project Go до 1.20.10 | Прикладное ПО информационных систем Google Inc. gRPC до 1.59 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 9.0.0 до 9.4.53.v20231009 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 10.0.0 до 10.0.17 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 11.0.0 до 11.0.17 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 12.0.0 до 12.0.2 | Сетевое программное средство Apache Software Foundation netty до 4.1.100 | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство nghttp2 до 1.57.0 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 11.0.0 до 11.0.0-M12 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 10.0.0 до 10.1.14 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 9.0.0 до 9.0.81 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 8.0.0 до 8.5.94 | Сетевое программное средство Apache Software Foundation Apache Traffic Server до 9.2.0 | Сетевое средство, Сетевое программное средство NGINX Inc. NGINX Plus от R25 до R30 включительно | Сетевое средство, Сетевое программное средство NGINX Inc. NGINX Open Source от 1.9.5 до 1.25.2 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 3.0.0 до 3.3.0 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 2.0.0 до 2.4.2 включительно | Сетевое программное средство NGINX Inc. NGINX Ingress Controller от 1.12.2 до 1.12.5 включительно | Операционная система АО «ИВК» АЛЬТ СП 10 — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.9 |

Наименование ОС и тип аппаратной платформы: Windows 1607 64-bit | Windows 1607 32-bit | Windows Server 2016 | Windows Server 2016 Server Core installation | Windows 10 1809 64-bit | Windows 10 1809 32-bit | Windows Server 2019 | Windows Server 2019 Server Core installation | Windows 10 1809 ARM64 | Astra Linux Special Edition 16 «Смоленск» | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Windows Server 2022 | Windows Server 2022 Server Core installation | Debian GNU/Linux 11 | Debian GNU/Linux 12 | РЕД ОС 73 | Windows 10 21H2 64-bit | Windows 10 21H2 32-bit | Windows 10 21H2 ARM64 | Альт 8 СП — | Ubuntu 2204 LTS | Red Hat Enterprise Linux 9 | Astra Linux Special Edition 47 ARM | Windows 11 22H2 64-bit | Windows 11 22H2 ARM64 | Windows 10 22H2 64-bit | Windows 10 22H2 ARM64 | Windows 10 22H2 32-bit | Windows 11 21H2 64-bit | Windows 11 21H2 ARM64 | РОСА Кобальт 79 | Ubuntu 2304 | РОСА ХРОМ 124 | АЛЬТ СП 10 — | ОСОН ОСнова Оnyx до 29 |
Дата выявления: 10.10.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4

Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
— обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
— обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-44487.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
https://ubuntu.com/security/notices/USN-6427-1
https://security-tracker.debian.org/tracker/CVE-2023-44487
https://access.redhat.com/security/cve/CVE-2023-44487
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
https://github.com/envoyproxy/envoy/pull/30055
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
https://github.com/grpc/grpc-go/pull/6703
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://github.com/micrictor/http2-rst-stream
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2418

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: