一、基本情况
HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。
二、漏洞描述
HTTP/2协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。
三、影响范围
Netty:
Netty < 4.1.100.Final
Go:
Go < 1.21.3
Go < 1.20.10
Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93
grpc-go:
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty:
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
nghttp2:
nghttp2 < v1.57.0
Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2
四、修复建议
安全更新
Netty >= 4.1.100.Final:
Go >= 1.21.3、1.20.10:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
grpc-go >= 1.58.3、1.57.1、1.56.3:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
nghttp2 >= v1.57.0:
NGINX已修复该漏洞,开源用户可以从最新的代码库构建最新NGINX。
