【漏洞通告】HTTP/2协议拒绝服务漏洞CVE-2023-44487
2023-10-14 18:26:14 Author: mp.weixin.qq.com(查看原文) 阅读量:23 收藏

漏洞名称:

HTTP/2协议拒绝服务漏洞(CVE-2023-44487)

组件名称:

Apache Tomcat

Apache Traffic Server

Go

grpc-go

jetty

Netty

nghttp2

影响范围:

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

漏洞类型:

拒绝服务

利用条件:

1、用户认证:否

2、前置条件:默认配置

3、触发方式:远程

综合评价:

<综合评定利用难度>:容易,无需授权即可进行拒绝服务攻击。

<综合评定威胁等级>:高危,能造成服务器拒绝服务。

官方解决方案:

已发布

漏洞分析

组件介绍

HTTP/2是一种用于传输超文本的网络协议,它是HTTP/1.1的升级版本。HTTP/2采用了二进制协议,通过多路复用技术实现了更高效的数据传输。它还引入了头部压缩、服务器推送和流优先级等新特性,提升了网页加载速度和性能。HTTP/2的目标是减少延迟、提高安全性,并适应现代互联网应用的需求。

漏洞简介

2023年10月14日,深信服安全团队监测到一则HTTP/2协议存在拒绝服务漏洞的信息,漏洞编号:CVE-2023-44487,漏洞威胁等级:高危。

攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击,使用HEADERS和RST_STREAM发送一组HTTP请求,并重复此模式在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,导致每秒请求量显著增加,最终导致目标服务器资源耗尽,造成服务器拒绝服务。

影响范围

目前受影响的组件版本:

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

解决方案

修复建议

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

https://github.com/apache/trafficserver/tags

https://github.com/golang/go/tags

https://github.com/grpc/grpc-go/releases

https://github.com/eclipse/jetty.project/releases

https://github.com/netty/netty/releases/tag/netty-4.1.100.Final

https://github.com/nghttp2/nghttp2/releases/

深信服解决方案

1.风险资产发现

支持对 Apache Tomcat、jetty 的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服主机安全检测响应平台CWPP】已发布资产检测方案。

【深信服云镜YJ】已发布资产检测方案。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-44487

https://blog.cloudflare.com/zh-cn/technical-breakdown-http2-rapid-reset-ddos-attack-zh-cn/

时间轴

2023/10/14

深信服监测到HTTP/2协议拒绝服务漏洞攻击信息。 

2023/10/14

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247520962&idx=1&sn=579a00255f6e2cd25e8785f63894bed0&chksm=ce4619d2f93190c4d9cb0b3968c3af9fa240322f3d6124aa4987ad82a49270e8cdbc4d8e7650&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh