安全通告

HTTP/2 协议拒绝服务漏洞预警通告

发布日期：2023-10-16

漏洞描述

2023年10月16日公司监测到HTTP/2协议拒绝服务漏洞(CVE-2023-44487)情报。HTTP/2（原名HTTP 2.0）即超文本传输协议第二版，使用于万维网。HTTP/2主要基于SPDY协议，通过对HTTP头字段进行数据压缩、对数据传输采用多路复用和增加服务端推送等举措，来减少网络延迟，提高客户端的页面加载速度。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧，取消请求，通过这种办法可以绕过并发流的限制，导致服务器资源的快速消耗。

漏洞编号

CVE-2023-44487

漏洞危害

攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧，取消请求，通过这种办法可以绕过并发流的限制，导致服务器资源的快速消耗。

漏洞等级

高危
受影响版本

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

修复方案

目目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：

Netty >= 4.1.100.Fina：

https://github.com/netty/netty/tags

Go >= 1.21.3、1.20.10：

https://github.com/golang/go/tags

Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94：

https://github.com/apache/tomcat/tags

grpc-go >= 1.58.3、1.57.1、1.56.3：

https://github.com/grpc/grpc-go/releases

jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009：

https://github.com/eclipse/jetty.project/releases

nghttp2 >= v1.57.0：

https://github.com/nghttp2/nghttp2/releases

Apache Traffic Server >= 8.1.9、9.2.3：

https://github.com/apache/trafficserver/tags

参考链接

https://aws.amazon.com/security/security-bulletins/AWS-2023-011/