欢迎user
新华三盾山实验室
2023/10/12
HTTP/2(HyperText Transfer Protocol version 2)是一种用于在Web上进行通信的协议。HTTP/2的目标是减少延迟、提高效率、加快网页加载速度,尤其在高延迟和高带宽网络环境下表现更加突出。HTTP/2还保持与HTTP/1.1的向后兼容性,使得迁移到新协议更加平滑,大多数现代的Web浏览器和Web服务器都已经支持HTTP/2。近日,新华三盾山实验室监测到HTTP/2协议拒绝服务漏洞(CVE-2023-44487),且漏洞存在在野利用,攻击者利用该漏洞可造成服务器拒绝服务。
HTTP/2协议存在拒绝服务漏洞,当使用HEADERS和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,可能导致每秒请求量显著增加,并导致服务器上的CPU利用率较高,最终导致资源耗尽,造成拒绝服务。
Netty:
Netty < 4.1.100.Final
Go:
Go < 1.21.3
Go < 1.20.10
Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93
grpc-go:
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty:
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
nghttp2:
nghttp2 < v1.57.0
Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 7.5 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
1、启用waf或ddos防御相关安全系统
2、在Web服务上禁用HTTP2协议
https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/