ID CVE-2018-1000168
Summary nghttp2 version >= 1.10.0 and nghttp2 <= v1.31.0 contains an Improper Input Validation CWE-20 vulnerability in ALTSVC frame handling that can result in segmentation fault leading to denial of service. This attack appears to be exploitable via network client. This vulnerability appears to have been fixed in >= 1.31.1.
References
Vulnerable Configurations
  • cpe:2.3:a:nghttp2:nghttp2:1.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.11.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.11.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.14.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.14.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.16.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.16.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.17.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.18.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.18.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.18.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.18.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.19.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.19.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.20.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.20.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.21.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.21.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.21.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.21.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.22.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.22.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.23.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.23.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.23.1:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.23.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.24.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.24.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.25.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.25.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.26.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.26.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.27.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.27.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.28.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.28.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.29.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.29.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.30.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.30.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nghttp2:nghttp2:1.31.0:*:*:*:*:*:*:*
    cpe:2.3:a:nghttp2:nghttp2:1.31.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.12.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.12.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.13.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.13.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.14.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.14.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.14.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.14.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.15.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.15.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.15.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:8.15.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.15.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.15.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.10.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.10.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.11.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.11.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:9.11.2:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:9.11.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.13.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.13.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.14.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.14.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.14.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.14.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.14.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.14.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.15.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.15.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.15.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.15.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.15.2:*:*:*:*:*:*:*
    cpe:2.3:a:nodejs:node.js:10.15.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nodejs:node.js:10.15.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:10.15.2:*:*:*:lts:*:*:*
CVSS
Base: 5.0 (as of 05-03-2019 - 13:58)
Impact:
Exploitability:
CWE CWE-476
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
redhat via4
advisories
  • rhsa
    id RHSA-2019:0366
  • rhsa
    id RHSA-2019:0367
refmap via4
bid 103952
confirm
Last major update 05-03-2019 - 13:58
Published 08-05-2018 - 15:29
Back to Top