有什么可以帮助到您的?

HTTP/2 远程拒绝服务漏洞风险通告

近日,火毅盾安全运营中心监测到, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。可导致业务被拒绝服务攻击等危害。

漏洞详情

HTTP/2 是一种网络协议,用于在客户端和服务器之间传输超文本传输协议(HTTP)消息。它是 HTTP/1.1的后续版本,主要提供更高效的数据传输和更好的性能。

由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞,攻击者可以利用该漏洞重复发送和取消请求,从而导致拒绝服务攻击。目前该漏洞已被在野利用。

风险等级

高风险

影响版本

HTTP/2为通用协议,漏洞广泛影响使用到HTTP/2协议的组件,包括不限于以下组件:

Netty:
Netty < 4.1.100.Final

Go:
Go < 1.21.3、1.20.10

Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go:
grpc-go < 1.58.3、1.57.1、1.56.3

jetty:
jetty < 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 < v1.57.0

Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2

安全版本
Netty:
Netty >= 4.1.100.Final

Go:
Go >= 1.21.3、1.20.10

Apache Tomcat:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94

grpc-go:
grpc-go >= 1.58.3、1.57.1、1.56.3

jetty:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 >= v1.57.0

Apache Traffic Server:
Apache Traffic Server >= 8.1.9、9.2.3

修复建议

请评估业务是否受HTTP/2 协议影响后,酌情升级 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等使用 HTTP/2 协议的组件至安全版本

漏洞参考

https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/

啊哦,评论功能已关闭~

更多文档