Vulnérabilité dans nghttp2
Date de publication :
Une vulnérabilité a été découverte dans nghttp2, bibliothèque logicielle permettant l’implémentation de serveurs HTTP 2. Un attaquant distant exploitant cette vulnérabilité peut provoquer un déni de service.
CVE-2020-11080 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans nghttp2 avant la version 1.41.0. Un attaquant distant peut provoquer la consommation totale des ressources CPU de la machine vulnérable via l’envoi d’un paquet “SETTINGS” particulièrement long, résultant en un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour. La simplicité d’exploitation de cette vulnérabilité peut cependant permettre de facilement en produire.
Composants vulnérables
- nghttp2 avant la version 1.41.0
CVE
- CVE-2020-11080
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour nghttp2 vers la version 1.41.0 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible, l’implémentation utilisant nghttp2 peut cependant être programmée afin de refuser les paquets visant à exploiter cette vulnérabilité (solution présentée par le texte de description de CVE-2020-11080 dans le dictionnaire Mitre).