リモートの Ubuntu 16.04 ESM / 18.04 ESM / 20.04 LTS ホストにインストールされているパッケージは USN-6142-1 のアドバイザリに記載されている脆弱性の影響を受けます。

  - バージョン1.41.0より前の nghttp2 では、過大な HTTP/2 SETTINGS フレームペイロードが原因でサービス拒否が発生します。
    概念実証攻撃は、悪意のあるクライアントが14,400バイト（2400個の設定エントリ）の長さのSETTINGSフレームを繰り返し構築します。この攻撃により、CPUの使用率が100％に急上昇します。nghttp2 v1.41.0で、この脆弱性が修正されます。この脆弱性には回避策があります。nghttp2_on_frame_recv_callbackコールバックを実装し、受信したフレームがSETTINGSフレームで設定エントリの数が大きい（32を超える）場合は、接続をドロップします。（CVE-2020-11080）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 16.04ESM / 18.04ESM / 20.04LTS : nghttp2 の脆弱性 (USN-6142-1)

high Nessus プラグイン ID 176745

バージョン 1.1

バージョン 1.0

バージョン 1.1 Jun 7, 2023, 10:21 PM CEA reference Plugin Feed: 202306072221
バージョン 1.0 Jun 6, 2023, 8:00 PM New Plugin Feed: 202306062000