2019-1690: Nghttp2, nginx, mod_http2: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-08-14 13:36)

Neues Advisory

Version 2 (2019-08-16 12:43)

Für Fedora 30 steht ein Sicherheitsupdate in Form des Pakets 'nghttp2-1.39.2-1.fc30' bereit, um die Schwachstellen in nghttp2 zu beheben. Dieses Update befindet sich derzeit noch im Status 'pending'. Canonical stellt für Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für nginx bereit, um diese Schwachstellen zu beheben.

Version 3 (2019-08-19 13:22)

Für Fedora 29 und 30 Modular stehen Sicherheitsupdates für nginx im Status 'testing' bereit, um die Schwachstellen zu beheben. Die Software wird damit auf die Version 1.17.3 aktualisiert.

Version 4 (2019-08-20 12:34)

Für Fedora 29 und Fedora EPEL 7 stehen nun ebenfalls Sicherheitsupdates für 'nghttp2' in Form der Pakete 'nghttp2-1.39.2-1.fc29' bzw. 'nghttp2-1.31.1-2.el7' im Status 'testing' bereit. Dabei wurde die Schwachstelle CVE-2019-9517 für alle Updates von 'nghttp2' ergänzt. Für Fedora 29 und 30 stehen außerdem Sicherheitsupdates in Form der Pakete 'mod_http2-1.15.3-2.fc29' bzw. 'mod_http2-1.15.3-2.fc30' im Status 'testing' bereit, um die Schwachstellen CVE-2019-9511, CVE-2019-9516 und CVE-2019-9517 in 'mod_http2' zu beheben.

Version 5 (2019-08-23 14:20)

Für die alte stabile Distribution (Stretch) und die stabile Distribution (Buster) stehen Sicherheitsupdates von 'nginx' bereit, um die Schwachstellen CVE-2019-9511, CVE-2019-9513 und CVE-2019-9516 zu beheben.

Version 6 (2019-08-28 14:19)

Für Fedora 29 steht ein Sicherheitsupdate in Form des Pakets 'nginx-1.16.1-1.fc29' im Status 'testing' bereit, um die Schwachstellen CVE-2019-9511, CVE-2019-9513 und CVE-2019-9516 zu beheben.

Version 7 (2019-09-02 14:10)

Für die alte stabile Distribution (Stretch) und die stabile Distribution (Buster) stehen Sicherheitsupdates von 'nghttp2' bereit, um die Schwachstellen CVE-2019-9511 und CVE-2019-9513 zu beheben.

Version 8 (2019-09-10 15:27)

Red Hat veröffentlicht Sicherheitsupdates für Red Hat CodeReady Linux 8 (aarch64, x86_64) und Red Hat Enterprise Linux 8 (aarch64, x86_64) zur Behebung der Schwachstellen CVE-2019-9511 und CVE-2019-9513 in 'nghttp2'.

Version 9 (2019-09-11 12:44)

Oracle veröffentlicht Sicherheitsupdates für Oracle Linux 8 (aarch64, x86_64) zur Behebung der Schwachstellen CVE-2019-9511 und CVE-2019-9513 in 'nghttp2'.

Version 10 (2019-09-27 15:28)

Für SUSE Linux Enterprise Module for Basesystem und SUSE Linux Enterprise Module for Open Buildservice Development Tools jeweils in Version 15 und 15 SP1 stehen Sicherheitsupdates für 'nghttp2' bereit, um die Schwachstellen CVE-2019-9511 und CVE-2019-9513 zu beheben.

Version 11 (2019-10-02 13:43)

Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'nghttp2' bereit, um die Schwachstellen CVE-2019-9511 und CVE-2019-9513 zu beheben. Red Hat stellt Sicherheitsupdates von 'httpd24-httpd' und 'httpd24-nghttp2' für die Red Hat Software Collections 1 für Red Hat Enterprise Linux Server for ARM und für Red Hat Enterprise Linux Server 6, 7, 7.5, 7.6 und 7.7 sowie für Red Hat Enterprise Linux Workstation 6 und 7 bereit, um die Schwachstellen CVE-2019-9511, CVE-2019-9513 und CVE-2019-9517 zu beheben. Darüber hinaus stellt Red Hat die Red Hat JBoss Core Services Apache HTTP Server Version 2.4.29 SP3 für Red Hat Enterprise Linux 6 und 7 zur Verfügung, um die Schwachstellen CVE-2019-9516 und CVE-2019-9517 zu beheben.

Version 12 (2019-10-07 12:17)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'nginx-1.16.1-1.el7' im Status 'testing' bereit, um die Schwachstellen CVE-2019-9511, CVE-2019-9513 und CVE-2019-9516 zu beheben.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann Schwachstellen in der Implementierung von HTTP/2 ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für Fedora 30 steht ein Sicherheitsupdate in Form des Pakets 'nginx-1.16.1-1.fc30', derzeit im Status 'testing', zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2019-9511

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9513

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9516

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9517

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.