网站建设网络营销网络推广网络运营网络综合解决方案服务商-万叁
. . .

HTTP/2 远程拒绝服务漏洞风险通告(CVE-2023-44487)

据CNNIC互联网安全中心通报, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。该漏洞可

行业新闻

HTTP/2 远程拒绝服务漏洞风险通告(CVE-2023-44487)

发布时间:2023-10-15

据CNNIC互联网安全中心通报, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。该漏洞可导致业务被拒绝服务攻击等危害。
 
漏洞详情
HTTP/2 是一种网络协议,用于在客户端和服务器之间传输超文本传输协议(HTTP)消息。它是 HTTP/1.1的后续版本,主要提供更高效的数据传输和更好的性能。
由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞,攻击者可以利用该漏洞重复发送和取消请求,从而导致拒绝服务攻击。 

风险等级
高风险

漏洞风险
导致业务被拒绝服务攻击等危害

影响版本
HTTP/2为通用协议,漏洞广泛影响使用到HTTP/2协议的组件,包括不限于以下组件:

Netty:
Netty < 4.1.100.Final

Go:
Go < 1.21.3、1.20.10

Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go:
grpc-go < 1.58.3、1.57.1、1.56.3

jetty:
jetty < 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 < v1.57.0

Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2

安全版本
Netty:
Netty >= 4.1.100.Final

Go:
Go >= 1.21.3、1.20.10

Apache Tomcat:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94

grpc-go:
grpc-go >= 1.58.3、1.57.1、1.56.3

jetty:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 >= v1.57.0

Apache Traffic Server:
Apache Traffic Server >= 8.1.9、9.2.3

修复建议
请评估业务是否受HTTP/2 协议影响后,酌情升级 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等使用 HTTP/2 协议的组件至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考:
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/

HTTP/2 远程拒绝服务漏洞风险通告(CVE-2023-44487)

发布时间:2023-10-15

据CNNIC互联网安全中心通报, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。该漏洞可导致业务被拒绝服务攻击等危害。
 
漏洞详情
HTTP/2 是一种网络协议,用于在客户端和服务器之间传输超文本传输协议(HTTP)消息。它是 HTTP/1.1的后续版本,主要提供更高效的数据传输和更好的性能。
由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞,攻击者可以利用该漏洞重复发送和取消请求,从而导致拒绝服务攻击。 

风险等级
高风险

漏洞风险
导致业务被拒绝服务攻击等危害

影响版本
HTTP/2为通用协议,漏洞广泛影响使用到HTTP/2协议的组件,包括不限于以下组件:

Netty:
Netty < 4.1.100.Final

Go:
Go < 1.21.3、1.20.10

Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go:
grpc-go < 1.58.3、1.57.1、1.56.3

jetty:
jetty < 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 < v1.57.0

Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2

安全版本
Netty:
Netty >= 4.1.100.Final

Go:
Go >= 1.21.3、1.20.10

Apache Tomcat:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94

grpc-go:
grpc-go >= 1.58.3、1.57.1、1.56.3

jetty:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 >= v1.57.0

Apache Traffic Server:
Apache Traffic Server >= 8.1.9、9.2.3

修复建议
请评估业务是否受HTTP/2 协议影响后,酌情升级 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等使用 HTTP/2 协议的组件至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考:
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/

还在查找问题?直接联系万叁看看! 还在查找问题?直接联系万叁看看!
我想咨询 万叁提供高效的网络解决方案服务