L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de HTTP/2 : multiples vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de HTTP/2.
Logiciels impactés : Apache httpd, Mac OS X, Debian, Jetty, Fedora, IBM API Connect, DB2 UDB, IBM i, WebSphere AS Liberty, Openfire, Kubernetes, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 2019, Windows 7, Windows 8, Windows RT, nginx, Nodejs Core, openSUSE Leap, Oracle Communications, Solaris, HTTP (protocole), Puppet, RHEL, JBoss EAP par Red Hat, Red Hat SSO, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité de cette vulnérabilité informatique : 3/4.
Nombre de vulnérabilités dans ce bulletin : 8.
Date de création : 14/08/2019.
Références de cette annonce : 1072144, 1072860, 1167160, 6198380, bulletinoct2019, CERTFR-2019-AVI-389, cpuapr2020, CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517, CVE-2019-9518, DSA-4503-1, DSA-4505-1, DSA-4508-1, DSA-4511-1, DSA-4520-1, DSA-4669-1, FEDORA-2019-1686ae9b59, FEDORA-2019-5a6a7bc12c, FEDORA-2019-63ba15cc83, FEDORA-2019-7443ebda4b, FEDORA-2019-81985a8858, FEDORA-2019-8a437d5c2f, FEDORA-2019-befd924cfe, HT210436, NFLX-2019-002, openSUSE-SU-2019:2000-1, openSUSE-SU-2019:2051-1, openSUSE-SU-2019:2056-1, openSUSE-SU-2019:2072-1, openSUSE-SU-2019:2085-1, openSUSE-SU-2019:2114-1, openSUSE-SU-2019:2115-1, openSUSE-SU-2019:2120-1, openSUSE-SU-2019:2130-1, openSUSE-SU-2019:2232-1, openSUSE-SU-2019:2234-1, openSUSE-SU-2019:2264-1, RHSA-2019:2692-01, RHSA-2019:2726-01, RHSA-2019:2745-01, RHSA-2019:2746-01, RHSA-2019:2775-01, RHSA-2019:2799-01, RHSA-2019:2893-01, RHSA-2019:2925-01, RHSA-2019:2939-01, RHSA-2019:2949-01, RHSA-2019:2955-01, RHSA-2019:4018-01, RHSA-2019:4019-01, RHSA-2019:4020-01, RHSA-2019:4021-01, RHSA-2019:4040-01, RHSA-2019:4041-01, RHSA-2019:4042-01, RHSA-2019:4045-01, RHSA-2019:4269-01, RHSA-2019:4273-01, RHSA-2020:0406-01, SSA:2020-091-02, SUSE-SU-2019:2213-1, SUSE-SU-2019:2214-1, SUSE-SU-2019:2237-1, SUSE-SU-2019:2254-1, SUSE-SU-2019:2259-1, SUSE-SU-2019:2260-1, SUSE-SU-2019:2309-1, SUSE-SU-2019:2329-1, SUSE-SU-2019:2473-1, SUSE-SU-2019:2559-1, SUSE-SU-2020:0059-1, Synology-SA-19:33, Synology-SA-19:37, USN-4099-1, USN-4113-1, USN-4113-2, USN-4308-1, VIGILANCE-VUL-30040, VU#605641.

Description de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de HTTP/2.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille concerne les logiciels ou systèmes comme Apache httpd, Mac OS X, Debian, Jetty, Fedora, IBM API Connect, DB2 UDB, IBM i, WebSphere AS Liberty, Openfire, Kubernetes, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 2019, Windows 7, Windows 8, Windows RT, nginx, Nodejs Core, openSUSE Leap, Oracle Communications, Solaris, HTTP (protocole), Puppet, RHEL, JBoss EAP par Red Hat, Red Hat SSO, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité cyber-sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 8 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte cybersécurité.

Solutions pour cette menace 

HTTP/2 : contre-mesure.
Une contre-mesure consiste à désactiver HTTP/2.

Apache httpd : version 2.4.41.
La version 2.4.41 est corrigée :
  https://httpd.apache.org/download.cgi

Cloud Foundry : versions corrigées pour HTTP/2.
Les versions corrigées sont indiquées dans les sources d'information.

Continuous Delivery for Puppet Enterprise : version 2.18.2.
La version 2.18.2 est corrigée :
  https://puppet.com/

Debian 10 : nouveaux paquetages golang-1.11.
De nouveaux paquetages sont disponibles :
  Debian 10 : golang-1.11 1.11.6-1+deb10u1

Debian 10 : nouveaux paquetages h2o.
De nouveaux paquetages sont disponibles :
  Debian 10 : h2o 2.2.5+dfsg2-2+deb10u1

Debian 10 : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  Debian 10 : nodejs 10.19.0~dfsg1-1

Debian 10 : nouveaux paquetages trafficserver.
De nouveaux paquetages sont disponibles :
  Debian 10 : trafficserver 8.0.2+ds-1+deb10u1

Debian 9/10 : nouveaux paquetages nghttp2.
De nouveaux paquetages sont disponibles :
  Debian 9 : nghttp2 1.18.1-1+deb9u1
  Debian 10 : nghttp2 1.36.0-2+deb10u1

Debian 9/10 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  Debian 9 : nginx 1.10.3-1+deb9u3
  Debian 10 : nginx 1.14.2-2+deb10u1

Eclipse Jetty : version 9.2.29.
La version 9.2.29 est corrigée :
  https://www.eclipse.org/jetty/download.html

Eclipse Jetty : version 9.3.28.
La version 9.3.28 est corrigée :
  https://www.eclipse.org/jetty/download.html

Eclipse Jetty : version 9.4.21.
La version 9.4.21 est corrigée :
  https://www.eclipse.org/jetty/download.html

Fedora 30 : nouveaux paquetages mod_http2.
De nouveaux paquetages sont disponibles :
  Fedora 30 : mod_http2 1.15.3-2.fc30

Fedora 30 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  Fedora 30 : nginx 1.16.1-1.fc30

Fedora 30 : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  Fedora 30 : nodejs 10.16.3-1.fc30

Fedora 31 : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  Fedora 31 : nodejs 12.13.1-1.fc31

Fedora : nouveaux paquetages libuv.
De nouveaux paquetages sont disponibles :
  Fedora 30 : libuv 1.33.1-1.fc30
  Fedora 31 : libuv 1.33.1-1.fc31

Fedora : nouveaux paquetages nghttp2.
De nouveaux paquetages sont disponibles :
  Fedora 29 : nghttp2 1.39.2-1.fc29
  Fedora 30 : nghttp2 1.39.2-1.fc30

IBM API Connect : versions corrigées pour HTTP/2.
Les versions corrigées sont indiquées dans les sources d'information.

IBM DB2 : patch pour bibliothèques intégrées.
Un patch par plateforme pour les versions 11.1 et 11.5 est indiqué dans les sources d'information.

IBM i : nouveaux paquetages Node,js.
De nouveaux paquetages sont disponibles :
  nodejs12-12.8.1-1.ibmi7.2.ppc64.rpm
  nodejs10-10.16.3-1.ibmi7.2.ppc64.rpm
  nodejs8-8.16.1-1.ibmi7.2.ppc64.rpm

Ignite Openfire : version 4.5.2.
La version 4.5.2 est corrigée.

Kubernetes : version 1.13.10.
La version 1.13.10 est corrigée :
  https://github.com/kubernetes/kubernetes/releases/tag/v1.13.10

Kubernetes : version 1.14.6.
La version 1.14.6 est corrigée :
  https://github.com/kubernetes/kubernetes/releases/tag/v1.14.6

Kubernetes : version 1.15.3.
La version 1.15.3 est corrigée :
  https://github.com/kubernetes/kubernetes/releases/tag/v1.15.3

macOS Sierra SwiftNIO HTTP/2 : version 1.5.0.
La version 1.5.0 est corrigée :
  https://support.apple.com/

nginx : version 1.16.1.
La version 1.16.1 est corrigée :
  https://nginx.org/

nginx : version 1.17.3.
La version 1.17.3 est corrigée :
  https://nginx.org/

Node Core : version 10.16.3.
La version 10.16.3 est corrigée :
  https://nodejs.org/en/download/

Node Core : version 12.8.1.
La version 12.8.1 est corrigée :
  https://nodejs.org/en/download/

Node Core : version 8.16.1.
La version 8.16.1 est corrigée :
  https://nodejs.org/en/download/

openSUSE Leap 15.0 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : nginx 1.14.2-lp150.2.11.1

openSUSE Leap 15.1 : nouveaux paquetages go1.12 (09/09/2019).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : go1.12 1.12.9-lp151.2.17.1

openSUSE Leap 15.1 : nouveaux paquetages go1.12 (26/08/2019).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : go1.12 1.12.9-lp151.2.21.1

openSUSE Leap 15.1 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : nginx 1.14.2-lp151.4.3.1

openSUSE Leap 15 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : apache2 2.4.33-lp150.2.23.1
  openSUSE Leap 15.1 : apache2 2.4.33-lp151.8.6.1

openSUSE Leap 15 : nouveaux paquetages go1.11.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : go1.11 1.11.13-lp150.18.1
  openSUSE Leap 15.1 : go1.11 1.11.13-lp151.2.9.1

openSUSE Leap 15 : nouveaux paquetages go1.12.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : go1.12 1.12.9-lp150.8.1
  openSUSE Leap 15.1 : go1.12 1.12.9-lp151.2.13.1

openSUSE Leap 15 : nouveaux paquetages nghttp2.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : nghttp2 1.39.2-lp150.2.3.1
  openSUSE Leap 15.1 : nghttp2 1.39.2-lp151.3.3.1

openSUSE Leap 15 : nouveaux paquetages nodejs10.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : nodejs10 10.16.3-lp150.5.1
  openSUSE Leap 15.1 : nodejs10 10.16.3-lp151.2.6.1

openSUSE Leap 15 : nouveaux paquetages nodejs8.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : nodejs8 8.16.1-lp150.2.19.1
  openSUSE Leap 15.1 : nodejs8 8.16.1-lp151.2.6.1

Oracle Communications : CPU de avril 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2647690.1
  https://support.oracle.com/rs?type=doc&id=2654603.1
  https://support.oracle.com/rs?type=doc&id=2652618.1
  https://support.oracle.com/rs?type=doc&id=2653087.1
  https://support.oracle.com/rs?type=doc&id=2653688.1
  https://support.oracle.com/rs?type=doc&id=2652610.1
  https://support.oracle.com/rs?type=doc&id=2653279.1
  https://support.oracle.com/rs?type=doc&id=2652619.1
  https://support.oracle.com/rs?type=doc&id=2652621.1
  https://support.oracle.com/rs?type=doc&id=2652606.1
  https://support.oracle.com/rs?type=doc&id=2653691.1
  https://support.oracle.com/rs?type=doc&id=2653692.1
  https://support.oracle.com/rs?type=doc&id=2647687.1
  https://support.oracle.com/rs?type=doc&id=2652622.1

Oracle Solaris : patch pour logiciels tiers de avril 2020 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de octobre 2019 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de octobre 2019 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Pivotal Cloud Foundry : versions corrigées pour HTTP/2.
Les versions corrigées sont indiquées dans les sources d'information.

Red Hat JBoss EAP : version 7.2.5.
La version 7.2.5 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=7.2

Red Hat Single Sign-On : version 7.3.5.
La version 7.3.5 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=core.service.rhsso&downloadType=securityPatches&version=7.3

RHEL 6, 7 : nouveaux paquetages httpd24-httpd/httpd24-nghttp2.
De nouveaux paquetages sont disponibles :
  RHEL 6 : httpd24-httpd 2.4.34-8.el6.1, httpd24-nghttp2 1.7.1-7.el6.1
  RHEL 7 : httpd24-httpd 2.4.34-8.el7.1, httpd24-nghttp2 1.7.1-7.el7.1

RHEL 7.7 : nouveaux paquetages containernetworking-plugins.
De nouveaux paquetages sont disponibles :
  RHEL 7.7 : containernetworking-plugins 0.8.1-4.el7_7

RHEL 7 : nouveaux paquetages rh-nginx112-nginx.
De nouveaux paquetages sont disponibles :
  RHEL 7 : rh-nginx112-nginx 1.12.1-3.el7.1

RHEL 7 : nouveaux paquetages rh-nginx114-nginx.
De nouveaux paquetages sont disponibles :
  RHEL 7 : rh-nginx114-nginx 1.14.1-1.el7.1

RHEL 7 : nouveaux paquetages rh-nodejs10.
De nouveaux paquetages sont disponibles :
  RHEL 7 : rh-nodejs10 3.2-3.el7

RHEL 7 : nouveaux paquetages rh-nodejs8-nodejs.
De nouveaux paquetages sont disponibles :
  RHEL 7 : rh-nodejs8-nodejs 8.16.1-2.el7

RHEL 8.0 : nouveaux paquetages nghttp2.
De nouveaux paquetages sont disponibles :
  RHEL 8 : nghttp2 1.33.0-1.el8_0.1

RHEL 8 : nouveau module container-tools-1.0.
Le module suivant est mis à jour :
  RHEL 8 Module : container-tools:1.0

RHEL 8 : nouveau module container-tools-rhel8.
Le module suivant est mis à jour :
  RHEL 8 Module : container-tools:rhel8

RHEL 8 : nouveau module go-toolset-rhel8.
Le module suivant est mis à jour :
  RHEL 8 Module : go-toolset:rhel8

RHEL 8 : nouveau module httpd-2.4.
Le module suivant est mis à jour :
  RHEL 8 Module : httpd:2.4

RHEL 8 : nouveau module nodejs-10.
Le module suivant est mis à jour :
  RHEL 8 Module : nodejs:10

RHEL 8 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  RHEL 8 : nginx 1.14.1-9.module+el8.0.0+4108+af250afe

RHEL : nouveaux paquetages rh-nginx110-nginx.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rh-nginx110-nginx 1.10.2-9.el6.1
  RHEL 7 : rh-nginx110-nginx 1.10.2-9.el7.1

Slackware : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : httpd 2.4.43-*-1_slack14.0
  Slackware 14.1 : httpd 2.4.43-*-1_slack14.1
  Slackware 14.2 : httpd 2.4.43-*-1_slack14.2

SUSE LE 12 : nouveaux paquetages nodejs10.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP5 : nodejs10 10.16.3-1.12.1

SUSE LE 12 : nouveaux paquetages nodejs12.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP5 : nodejs12 12.13.0-1.3.1

SUSE LE 12 SP4 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : apache2 2.4.23-29.43.1

SUSE LE 15 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : apache2 2.4.33-3.21.1
  SUSE LE 15 SP1 : apache2 2.4.33-3.21.1

SUSE LE 15 : nouveaux paquetages go1.11.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : go1.11 1.11.13-1.18.1
  SUSE LE 15 SP1 : go1.11 1.11.13-1.18.1

SUSE LE 15 : nouveaux paquetages go1.12.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : go1.12 1.12.9-1.15.1
  SUSE LE 15 SP1 : go1.12 1.12.9-1.15.1

SUSE LE 15 : nouveaux paquetages nghttp2.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : nghttp2 1.39.2-3.3.1
  SUSE LE 15 SP1 : nghttp2 1.39.2-3.3.1

SUSE LE 15 : nouveaux paquetages nodejs10.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : nodejs10 10.16.3-1.12.1
  SUSE LE 15 SP1 : nodejs10 10.16.3-1.12.1

SUSE LE 15 : nouveaux paquetages nodejs8.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : nodejs8 8.16.1-3.20.1
  SUSE LE 15 SP1 : nodejs8 8.16.1-3.20.1

SUSE LE 15 RTM : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : nginx 1.14.2-3.6.1

SUSE LE 15 SP1 : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 SP1 : nginx 1.14.2-6.3.1

Synology DSM : version 6.2.2-24922-4.
La version 6.2.2-24922-4 est corrigée :
  https://www.synology.com/

Ubuntu : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  Ubuntu 19.04 : apache2 2.4.38-2ubuntu2.3
  Ubuntu 18.04 LTS : apache2 2.4.29-1ubuntu4.11
  Ubuntu 16.04 LTS : apache2 2.4.18-2ubuntu3.13

Ubuntu : nouveaux paquetages nginx.
De nouveaux paquetages sont disponibles :
  Ubuntu 19.04 : nginx 1.15.9-0ubuntu1.1
  Ubuntu 18.04 LTS : nginx 1.14.0-0ubuntu1.4
  Ubuntu 16.04 LTS : nginx 1.10.3-0ubuntu0.16.04.4

Ubuntu : nouveaux paquetages python-twisted.
De nouveaux paquetages sont disponibles :
  Ubuntu 19.10 : python-twisted 18.9.0-3ubuntu1.1
  Ubuntu 18.04 LTS : python-twisted 17.9.0-2ubuntu0.1
  Ubuntu 16.04 LTS : python-twisted 16.0.0-1ubuntu0.4

WebSphere Application Server Liberty : patch pour HTTP/2.
Un patch est indiqué dans les sources d'information.

Windows : patch de août 2019.
Un patch est indiqué dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une veille de vulnérabilité de réseau. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.