Bug 13683

Summary: [upd 21] angie 1.3.1
Product: [ROSA-based products] ROSA Fresh Reporter: Mikhail Novosyolov <m.novosyolov>
Component: Net (ssh, samba, ssl, NM...)Assignee: Mikhail Novosyolov <m.novosyolov>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: critical    
Priority: High CC: a.proklov, pastordidi, v.potapov
Version: AllFlags: v.potapov: qa_verified+
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: 2021.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Mikhail Novosyolov 2023-10-18 16:23:33 MSK 
********** QA ADVISOIRY ********

angie 1.3.1-1
- upd from 1.3.0 to 1.3.1
Security: Added extra limitations to HTTP/2 stream handling for better protection against the DoS attack known as “HTTP/2 Rapid Reset” (CVE-2023-44487).

https://abf.io/build_lists/4758512
https://abf.io/build_lists/4758513
https://abf.io/build_lists/4758514
https://abf.io/build_lists/4758515
https://abf.io/build_lists/4758516

Эта CVE описывает не конкретную уязвимость в приложении, а метод атаки многих приложений, поддерживающих протокол HTTP/2.
Comment 1 Dmitry Postnikov 2023-10-18 19:03:55 MSK 
Кто такой angie ? Форк не понятный.
Лучше бы nginx с CVE сделал.
Comment 2 Mikhail Novosyolov 2023-10-19 05:47:44 MSK 
В nginx не считают этот CVE за уязвимость, а защититься от него можно конфигом.
Comment 3 Dmitry Postnikov 2023-10-19 09:35:41 MSK 
А ты вот это посмотри:
https://bugzilla.rosalinux.ru/show_bug.cgi?id=13908
Comment 4 Dmitry Postnikov 2023-10-24 09:30:18 MSK 
*****************************
Обновление отослано в Тестинг
Comment 5 Vladimir Potapov 2023-10-24 12:47:45 MSK 
angie-1.3.1-1
https://abf.io/build_lists/4758512
https://abf.io/build_lists/4758513
https://abf.io/build_lists/4758514
https://abf.io/build_lists/4758515
https://abf.io/build_lists/4758516
************************** Advisory **************************
- upd from 1.3.0 to 1.3.1
Security: Added extra limitations to HTTP/2 stream handling for better protection against the DoS attack known as “HTTP/2 Rapid Reset” (CVE-2023-44487).
***************************************************************
QA Verified