BDU:2019-02994
АО "НППКТ", Microsoft Corp, Novell Inc., Red Hat Inc., Node.js Foundation, АО «Концерн ВНИИНС», Сооб Red Hat Enterprise Linux, Windows Server 2016, Debian GNU/Linux, Windows 10 1709, nginx, Oracle Comm
2019-08-13
Уязвимость реализации сетевого протокола HTTP/2 операционных систем Windows, сервера nginx, программной платформы Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для программных продуктов Microsoft Corp.: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9511
Для Node.js: https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/
Для nginx: http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html
Для Debian: Обновление программного обеспечения (пакета nginx) до 1.10.3-1+deb9u3 или более поздней версии
Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00031.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00032.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00035.html https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00003.html https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00005.html https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00014.html
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BP556LEG3WENHZI5TAQ6ZEBFTJB4E2IS/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LZLUYPYY3RX4ZJDWZRJIKSULYRJ4PXW7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPAEC4FWL4UU4LDEGPY5NPALU24FFQD/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TAZZEVTCN2B4WT6AIBJ7XGYJMBTORJU5/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XHTKU7YQ5EEP2XNSAV4M4VJ7QCBOJMOD/
Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html
Для ОСОН Основа: Обновление программного обеспечения twisted до версии 20.3.0-7
Для ОС ОН «Стрелец»: Обновление программного обеспечения nghttp2 до версии 1.18.1-1+deb9u2 Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2900
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2899
Для ОС Astra Linux: - обновить пакет nghttp2 до 1.36.0-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16 - обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16