BDU:2023-06559

Высокий

BDU:2023-06559: Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.5

CVSS v27.8

Пересчитать в калькуляторе Открыть на bdu.fstec.ru К реестру

Описание

Уязвимость реализации протокола HTTP/2 связана с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения получения пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Что делать с BDU:2023-06559

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1

7.5Высокий

Пересчитать →

7.8

Только просмотр

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-400

CVE — международный идентификатор

CVE-2023-44487

CWE-400

Неконтролируемое потребление ресурсов

Программа не ограничивает потребление CPU/RAM/диска. Приводит к отказу в обслуживании (DoS).

Как атакуют и что делать ▾

Сценарий атаки

Атакующий отправляет множество тяжёлых запросов или запрос, вызывающий экспоненциальную обработку (ReDoS, zip bomb).

Последствия

Отказ в обслуживании: сервер перестаёт отвечать легитимным пользователям.

Рекомендации

Ограничивайте rate limit, размер запроса, время обработки. Используйте очереди и таймауты.

Тактики и техники

Исчерпание ресурсов

Уязвимое ПО (180)

Вендор	Название	Версия	Платформа
Microsoft Corp	Windows 10 1607	-	64-bit
Microsoft Corp	Windows 10 1607	-	32-bit
Microsoft Corp	Windows Server 2016	-	Не указана
Microsoft Corp	Windows Server 2016 (Server Core installation)	-	Не указана
Microsoft Corp	Windows 10 1809	-	64-bit
Microsoft Corp	Windows 10 1809	-	32-bit
Microsoft Corp	Windows Server 2019	-	Не указана
Microsoft Corp	Windows Server 2019 (Server Core installation)	-	Не указана
Microsoft Corp	Windows 10 1809	-	ARM64
ООО «РусБИТех-Астра»	Astra Linux Special Edition	1.6 «Смоленск»	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP3	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP4	Не указана
Novell Inc.	OpenSUSE Leap	15.5	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP3	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP4	Не указана
Novell Inc.	SUSE Linux Enterprise High Performance Computing	12	Не указана
Novell Inc.	SUSE Linux Enterprise Module for Web Scripting	12	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	15 SP1	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP5	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP5	Не указана
Novell Inc.	SUSE Linux Enterprise Software Development Kit	12 SP5	Не указана
Red Hat Inc.	OpenShift Container Platform	3.11	Не указана
Сообщество свободного программного обеспечения	H2O	до 2.2.6	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	10	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12	Не указана
Novell Inc.	openSUSE Tumbleweed	-	Не указана
Red Hat Inc.	OpenShift Container Platform	4	Не указана
Novell Inc.	SUSE CaaS Platform	4.0	Не указана
Novell Inc.	Suse Linux Enterprise Server	15 SP1-LTSS	Не указана
Novell Inc.	SUSE Linux Enterprise High Performance Computing	15 SP1-LTSS	Не указана
Red Hat Inc.	Openshift Service Mesh	2	Не указана
Microsoft Corp	Windows Server 2022	-	Не указана
Microsoft Corp	Windows Server 2022 (Server Core installation)	-	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	11	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	12	Не указана
Novell Inc.	Suse Linux Enterprise Server	12	Не указана
ООО «Ред Софт»	РЕД ОС	7.3	Не указана
Microsoft Corp	Windows 10 21H2	-	64-bit
Microsoft Corp	Windows 10 21H2	-	32-bit
Microsoft Corp	Windows 10 21H2	-	ARM64
Novell Inc.	OpenSUSE Leap	15.4	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	15 SP3	Не указана
Novell Inc.	SUSE Manager Proxy	4.2	Не указана
Novell Inc.	SUSE Manager Server	4.2	Не указана
Microsoft Corp	ASP.NET Core	6.0	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	15 SP2	Не указана
Novell Inc.	SUSE Linux Enterprise High Performance Computing	15 SP2-LTSS	Не указана
Novell Inc.	SUSE Linux Enterprise Micro	5.1	Не указана
АО «ИВК»	Альт 8 СП	-	Не указана

Показано 50 из 180

Среды функционирования (80)

Вендор	Название	Версия	Платформа
Fedora Project	Fedora	38	Не указана
Microsoft Corp	Windows 10 1607	-	64-bit
Microsoft Corp	Windows 10 1607	-	32-bit
Microsoft Corp	Windows Server 2016	-	Не указана
Microsoft Corp	Windows Server 2016 (Server Core installation)	-	Не указана
Microsoft Corp	Windows 10 1809	-	64-bit
Microsoft Corp	Windows 10 1809	-	32-bit
Microsoft Corp	Windows Server 2019	-	Не указана
Microsoft Corp	Windows Server 2019 (Server Core installation)	-	Не указана
Microsoft Corp	Windows 10 1809	-	ARM64
ООО «РусБИТех-Астра»	Astra Linux Special Edition	1.6 «Смоленск»	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP3	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP4	Не указана
Novell Inc.	OpenSUSE Leap	15.5	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP3	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP4	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	15 SP1	Не указана
Novell Inc.	Suse Linux Enterprise Server	12 SP5	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12 SP5	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	10	Не указана
Novell Inc.	SUSE Linux Enterprise Server for SAP Applications	12	Не указана
Novell Inc.	openSUSE Tumbleweed	-	Не указана
Novell Inc.	Suse Linux Enterprise Server	15 SP1-LTSS	Не указана
Microsoft Corp	Windows Server 2022	-	Не указана
Microsoft Corp	Windows Server 2022 (Server Core installation)	-	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	11	Не указана
Сообщество свободного программного обеспечения	Debian GNU/Linux	12	Не указана
Novell Inc.	Suse Linux Enterprise Server	12	Не указана
ООО «Ред Софт»	РЕД ОС	7.3	Не указана

Рекомендации по устранению

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению. Использование рекомендаций: Для программных продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487 Для Ubuntu: https://ubuntu.com/security/notices/USN-6427-1 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-44487 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-44487 Для NGINX: https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/ https://mailman.nginx.org/pipermail/nginx-devel/2023-October/S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK.html Для HAProxy: http://git.haproxy.org/?p=haproxy.git;a=commit;h=f210191dc Для Envoy: https://github.com/envoyproxy/envoy/pull/30055 Для Golang: https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo Для H2O: https://github.com/h2o/h2o/security/advisories/GHSA-2m7v-gc89-fjqf https://github.com/h2o/h2o/commit/28fe15117b909588bf14269a0e1c6ec4548579fe Для gRPC: https://github.com/grpc/grpc-go/pull/6703 Для jetty: https://github.com/eclipse/jetty.project/issues/10679 https://github.com/eclipse/jetty.project/releases/tag/jetty-12.0.2 https://github.com/eclipse/jetty.project/releases/tag/jetty-11.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-10.0.17 https://github.com/eclipse/jetty.project/releases/tag/jetty-9.4.53.v20231009 Для netty: https://github.com/netty/netty/commit/58f75f665aa81a8cbcf6ffa74820042a285c5e61 Для nghttp2: https://github.com/nghttp2/nghttp2/pull/1961 https://github.com/nghttp2/nghttp2/releases/tag/v1.57.0 Для Apache Tomcat: https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81 https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94 Для Apache Traffic Server: https://github.com/apache/trafficserver/commit/b28ad74f117307e8de206f1de70c3fa716f90682 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1 Обновление программного обеспечения nginx до версии 1.22.1-9.1.osnova1 Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1 Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u4 Для Astra Linux Special Edition 4.7: обновить пакет nghttp2 до 1.36.0-2+deb10u1+ci202308141449+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для Astra Linux Special Edition 1.6 «Смоленск»:: - обновить пакет nghttp2 до 1.36.0-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16 - обновить пакет haproxy до 1.8.19-1+deb10u2~bpo9+1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2525 Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2740 Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/ https://altsp.su/obnovleniya-bezopasnosti/ Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2831 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2852 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2895 Для Libercat Certified: Обновление ПО до актуальной версии Для ОС Аврора: https://cve.omp.ru/bb27514 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GPSG52LH2JGTMWRVHJSLXAUEKBI6A45D Для Fedora EPEL: https://bugzilla.redhat.com/show_bug.cgi?id=2243324 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-44487.html Для Angie: https://angie.software/angie/docs/oss_changes/#angie-1-8-2 https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2 Для Ред ОС: http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Источники (1)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487 https://ub…

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации94.4%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

CISA KEV — активно эксплуатируется

Включена в каталог Known Exploited Vulnerabilities. Устранение — приоритет.

Информация

Обнаружена

2023-10-10

Опубликована

2023-10-11

Обновлена

2026-03-10

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

Уязвимости → активы → ответственные — цепочка за минуту
SLA-таймеры и эскалация — дедлайны не горят
PDF-отчёт для ФСТЭК — за один клик

Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2023-44487 MITRE: CWE-400 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-03049

Высокий

7.5

Уязвимость программной платформы ASP.NET Core, связанная с неограниченным распределением ресурсов, позволяющая нарушител

BDU:2025-13247

Высокий

9.9

Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю

BDU:2025-16019

Низкий

6.3

Уязвимость обработчика заголовка ответов ngx_mail_smtp_ веб-серверов NGINX Plus и NGINX Open Source, позволяющая нарушит

BDU:2025-04038

Высокий

7.5

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, св

BDU:2025-04300

Средний

7.0

Уязвимость программной платформы ASP.NET Core и средства разработки программного обеспечения Microsoft Visual Studio, св

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостям Модуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0

Детали уязвимости BDU:2023-06559

Описание

Что делать с BDU:2023-06559

Оценка критичности (CVSS)

Тактики и техники

Уязвимое ПО (180)

Среды функционирования (80)

Рекомендации по устранению

Источники (1)

SLA ФСТЭК №117

Threat Intelligence

Информация

Внешние ресурсы

Связанные уязвимости

Что добавляет КиберОснова к данным БДУ ФСТЭК

Автоматизируйте управление уязвимостями