Vulnérabilité dans nghttp2

Une vulnérabilité a été découverte dans nghttp2, bibliothèque logicielle permettant l’implémentation de serveurs HTTP 2. Un attaquant distant exploitant cette vulnérabilité peut provoquer un déni de service.

CVE-2020-11080 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans nghttp2 avant la version 1.41.0. Un attaquant distant peut provoquer la consommation totale des ressources CPU de la machine vulnérable via l’envoi d’un paquet “SETTINGS” particulièrement long, résultant en un déni de service.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour. La simplicité d’exploitation de cette vulnérabilité peut cependant permettre de facilement en produire.

Composants vulnérables

  • nghttp2 avant la version 1.41.0

CVE

  • CVE-2020-11080


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour nghttp2 vers la version 1.41.0 ou supérieure

Solution de contournement

  • Aucune solution de contournement n’est disponible, l’implémentation utilisant nghttp2 peut cependant être programmée afin de refuser les paquets visant à exploiter cette vulnérabilité (solution présentée par le texte de description de CVE-2020-11080 dans le dictionnaire Mitre).