Inicio / Alerta Temprana / Vulnerabilidades / CVE-2019-9515

Vulnerabilidad en HTTP / 2 (CVE-2019-9515)

Tipo: 
Consumo de recursos no controlado (Agotamiento de recursos)
Gravedad: 
Alta
Fecha publicación : 
13/08/2019
Última modificación: 
23/08/2019
Descripción
Algunas implementaciones de HTTP / 2 son vulnerables a una inundación de configuraciones, lo que puede conducir a una denegación de servicio. El atacante envía una secuencia de marcos de CONFIGURACIÓN al par. Como el RFC requiere que el igual responda con un acuse de recibo por cuadro de CONFIGURACIÓN, un cuadro de CONFIGURACIÓN vacío es casi equivalente en comportamiento a un ping. Dependiendo de cuán eficientemente se pongan en cola estos datos, esto puede consumir un exceso de CPU, memoria o ambos.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:canonical:ubuntu_linux:*:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*
  • cpe:2.3:a:apple:swiftnio:*:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:traffic_server:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos