Каталог уязвимостей Сканер-ВС

Вернуться к списку

BDU:2023-06559

Оценки

EPSS

0.000нет0.0%
0%20%40%60%80%100%

Процентиль: 0.0%

CVSS

7.5высокий3.x
0246810

Оценка CVSS: 7.5/10

Все оценки CVSS

CVSS 3.x
7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0
7.8

Вектор: AV:N/AC:L/Au:N/C:N/I:N/A:C

Описание

Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.
Подробнее о Сканер-ВС 7

Источники

bdumsrc

Связанные уязвимости

CVE-2023-44487ROS-20231107-01ROS-20240402-07ROS-20240402-08ROS-20240503-02ROS-20240712-03ROS-20240805-01ROS-20240826-01ROS-20240917-09ROS-20250515-06ROS-20250822-13

Справочные ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-44487
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
https://ubuntu.com/security/notices/USN-6427-1
https://security-tracker.debian.org/tracker/CVE-2023-44487
https://access.redhat.com/security/cve/CVE-2023-44487
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
https://github.com/envoyproxy/envoy/pull/30055
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
https://github.com/grpc/grpc-go/pull/6703
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://github.com/micrictor/http2-rst-stream
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
https://abf.rosa.ru/advisories/ROSA-SA-2025-2740
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://abf.rosa.ru/advisories/ROSA-SA-2025-2831
https://abf.rosa.ru/advisories/ROSA-SA-2025-2830
https://abf.rosa.ru/advisories/ROSA-SA-2025-2852
https://abf.rosa.ru/advisories/ROSA-SA-2025-2895
https://cve.omp.ru/bb27514
https://lists.fedoraproject.org/archives/list/package-announce
lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D
https://bugzilla.redhat.com/show_bug.cgi?id=2243324
https://www.suse.com/security/cve/CVE-2023-44487.html
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

Рекомендации

Источник: bdu

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться “Рекомендаций по безопасной настройке операционных систем LINUX”, изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.

Использование рекомендаций:

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6427-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-44487

Для NGINX:
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html

Для HAProxy:
http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc

Для Envoy:
https://github.com/envoyproxy/envoy/pull/30055

Для Golang:
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo

Для H2O:
https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf
https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe

Для gRPC:
https://github.com/grpc/grpc-go/pull/6703

Для jetty:
https://github.com/eclipse/jetty.project/issues/10679
https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2
https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17
https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009

Для netty:
https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61

Для nghttp2:
https://github.com/nghttp2/nghttp2/pull/1961
https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0

Для Apache Tomcat:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

Для Apache Traffic Server:
https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1
Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4

Для Astra Linux Special Edition 4.7:
обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС РОСА “КОБАЛЬТ”: https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для ОС РОСА “КОБАЛЬТ”: https://abf.rosa.ru/advisories/ROSA-SA-2024-2525

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

https://altsp.su/obnovleniya-bezopasnosti/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2831

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852

Для ОС РОСА “КОБАЛЬТ”: https://abf.rosa.ru/advisories/ROSA-SA-2025-2895

Для Libercat Certified:
Обновление ПО до актуальной версии

Для ОС Аврора: https://cve.omp.ru/bb27514

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D

Для Fedora EPEL:
https://bugzilla.redhat.com/show_bug.cgi?id=2243324

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-44487.html

Для Angie:
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

URL: https://bdu.fstec.ru/vul/2023-06559

Уязвимое ПО (8442)

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: windows_10_1607 *

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: windows_server_2019 *

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: windows_server_2022 *

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: opensuse leap 15.5

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: suse linux enterprise server 12 SP5

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: windows_server 2022

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: opensuse leap micro 5.5

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: suse linux micro 6.1

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: suse linux enterprise server for sap applications 15 SP1

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: netty

Операционная система: suse linux enterprise server for sap applications 15 SP3

Характеристика: 
{  "version_end_excluding": "4.1.100"}

Источник: bdu