BDU:2023-06559
Willy Terreau, АО «ИВК», The Go Project, Google Inc, Eclipse Foundation, Microsoft Corp, ООО «Ред Со SUSE Manager Retail Branch Server, NGINX Ingress Controller, Red Hat Enterprise Linux, Go, Windows S
2023-10-10
Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению.
Использование рекомендаций:
Для программных продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
Для Ubuntu: https://ubuntu.com/security/notices/USN-6427-1
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-44487
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-44487
Для NGINX: https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/ https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html
Для HAProxy: http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc
Для Envoy: https://github.com/envoyproxy/envoy/pull/30055
Для Golang: https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
Для H2O: https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe
Для gRPC: https://github.com/grpc/grpc-go/pull/6703
Для jetty: https://github.com/eclipse/jetty.project/issues/10679 https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2 https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009
Для netty: https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61
Для nghttp2: https://github.com/nghttp2/nghttp2/pull/1961 https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0
Для Apache Tomcat: https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
Для Apache Traffic Server: https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1 Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1 Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1 Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4
Для Astra Linux Special Edition 4.7: обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.6 «Смоленск»:: - обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16 - обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2831
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2895
Для Libercat Certified: Обновление ПО до актуальной версии
Для ОС Аврора: https://cve.omp.ru/bb27514
Для Fedora EPEL: https://bugzilla.redhat.com/show_bug.cgi?id=2243324
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-44487.html
Для Angie: https://angie.software/angie/docs/oss_changes/#angie-1-8-2 https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2