安全通告
HTTP/2 协议拒绝服务漏洞预警通告
发布日期:2023-10-16
漏洞描述
2023年10月16日公司监测到HTTP/2协议拒绝服务漏洞(CVE-2023-44487)情报。HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。HTTP/2主要基于SPDY协议,通过对HTTP头字段进行数据压缩、对数据传输采用多路复用和增加服务端推送等举措,来减少网络延迟,提高客户端的页面加载速度。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。
漏洞编号
CVE-2023-44487
漏洞危害
攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。
漏洞等级
高危
受影响版本
11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13
9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80
8.5.0 ≤ Apache Tomcat ≤ 8.5.93
8.0.0 ≤ Apache Traffic Server ≤ 8.1.8
9.0.0 ≤ Apache Traffic Server ≤ 9.2.2
Go < 1.21.3
Go < 1.20.10
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
Netty < 4.1.100.Final
nghttp2 < v1.57.0
修复方案
目目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
参考链接
https://aws.amazon.com/security/security-bulletins/AWS-2023-011/