Уязвимость BDU:2020-04461

Дата: 03.06.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-04461.

Наименование уязвимости: Уязвимость библиотеки nghttp2, связанная с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость библиотеки nghttp2 связана с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании посредством отправки многочисленных сетевых пакетов HTTP/2 SETTINGS
Уязвимое ПО: Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Debian GNU/Linux 10.0 | Операционная система Fedora Project Fedora 31 | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.3 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 19.3.2 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.1.0 | Прикладное ПО информационных систем nghttp2 nghttp2 до 1.41.0 | Операционная система Fedora Project Fedora 33 | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster до 7.3.30 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster до 7.4.29 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster до 7.5.19 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster до 7.6.15 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster до 8.0.21 включительно | Сетевое программное средство Oracle Corp. Oracle Enterprise Session Border Controller 8.4 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker 3.1 | Сетевое программное средство Oracle Corp. Enterprise Communications Broker 3.2 |

Наименование ОС и тип аппаратной платформы: OpenSUSE Leap 151 | Debian GNU/Linux 100 | Fedora 31 | Fedora 33 |
Дата выявления: 03.06.2020.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для nghttp2:
https://github.com/nghttp2/nghttp2/commit/336a98feb0d56b9ac54e12736b18785c27f75090
https://github.com/nghttp2/nghttp2/commit/f8da73bd042f810f34d19f9eae02b46d870af394
https://github.com/nghttp2/nghttp2/security/advisories/GHSA-q5wr-xfw9-q7xr

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4696

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00024.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/[email protected]/message/AAC2AA36OTRHKSVM5OV7TTVB3CZIGEFL/
https://lists.fedoraproject.org/archives/list/[email protected]/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-11080.

Тип ошибки CWE: CWE-707
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/nghttp2/nghttp2/commit/336a98feb0d56b9ac54e12736b18785c27f75090
https://github.com/nghttp2/nghttp2/commit/f8da73bd042f810f34d19f9eae02b46d870af394
https://github.com/nghttp2/nghttp2/security/advisories/GHSA-q5wr-xfw9-q7xr
https://www.debian.org/security/2020/dsa-4696
https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00024.html
https://lists.fedoraproject.org/archives/list/[email protected]/message/AAC2AA36OTRHKSVM5OV7TTVB3CZIGEFL/
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://lists.fedoraproject.org/archives/list/[email protected]/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *