Vulnerabilidad en HTTP / 2 (CVE-2019-9511)
Tipo:
Consumo de recursos no controlado (Agotamiento de recursos)
Gravedad:
Alta
Fecha publicación :
13/08/2019
Última modificación:
23/08/2019
Descripción
Algunas implementaciones de HTTP / 2 son vulnerables a la manipulación del tamaño de la ventana y la manipulación de priorización de flujo, lo que puede conducir a una denegación de servicio. El atacante solicita una gran cantidad de datos de un recurso especificado a través de múltiples flujos. Manipulan el tamaño de la ventana y la prioridad de transmisión para obligar al servidor a poner en cola los datos en fragmentos de 1 byte. Dependiendo de cuán eficientemente se pongan en cola estos datos, esto puede consumir un exceso de CPU, memoria o ambos.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:o:synology:vs960hd_firmware:-:*:*:*:*:*:*:*
- cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
- cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
- cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
- cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:*
- cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
- cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
- cpe:2.3:o:canonical:ubuntu_linux:*:*:*:*:*:*:*:*
- cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*
- cpe:2.3:h:synology:vs960hd:-:*:*:*:*:*:*:*
- cpe:2.3:a:synology:skynas:-:*:*:*:*:*:*:*
- cpe:2.3:a:synology:diskstation_manager:6.2:*:*:*:*:*:*:*
- cpe:2.3:a:apple:swiftnio:*:*:*:*:*:*:*:*
- cpe:2.3:a:apache:traffic_server:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- openSUSE-SU-2019:2115 (Origen: SUSE)
- openSUSE-SU-2019:2114 (Origen: SUSE)
- openSUSE-SU-2019:2120 (Origen: SUSE)
- RHSA-2019:2692 (Origen: REDHAT)
- RHSA-2019:2745 (Origen: REDHAT)
- RHSA-2019:2746 (Origen: REDHAT)
- RHSA-2019:2775 (Origen: REDHAT)
- https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md (Origen: MISC)
- VU#605641 (Origen: CERT-VN)
- https://kc.mcafee.com/corporate/index?page=content&id=SB10296 (Origen: CONFIRM)
- FEDORA-2019-4427fd65be (Origen: FEDORA)
- FEDORA-2019-8a437d5c2f (Origen: FEDORA)
- FEDORA-2019-81985a8858 (Origen: FEDORA)
- FEDORA-2019-7a0b45fdc4 (Origen: FEDORA)
- FEDORA-2019-befd924cfe (Origen: FEDORA)
- FEDORA-2019-63ba15cc83 (Origen: FEDORA)
- 20190822 [SECURITY] [DSA 4505-1] nginx security update (Origen: BUGTRAQ)
- 20190902 [SECURITY] [DSA 4511-1] nghttp2 security update (Origen: BUGTRAQ)
- https://security.netapp.com/advisory/ntap-20190823-0002/ (Origen: CONFIRM)
- https://security.netapp.com/advisory/ntap-20190823-0005/ (Origen: CONFIRM)
- https://support.f5.com/csp/article/K02591030 (Origen: CONFIRM)
- USN-4099-1 (Origen: UBUNTU)
- DSA-4505 (Origen: DEBIAN)
- DSA-4511 (Origen: DEBIAN)
- https://www.synology.com/security/advisory/Synology_SA_19_33 (Origen: CONFIRM)