还在查找问题?直接联系万叁看看!
还在查找问题?直接联系万叁看看!
我想咨询
据CNNIC互联网安全中心通报, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。该漏洞可导致业务被拒绝服务攻击等危害。
漏洞详情
HTTP/2 是一种网络协议,用于在客户端和服务器之间传输超文本传输协议(HTTP)消息。它是 HTTP/1.1的后续版本,主要提供更高效的数据传输和更好的性能。
由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞,攻击者可以利用该漏洞重复发送和取消请求,从而导致拒绝服务攻击。
风险等级
高风险
漏洞风险
导致业务被拒绝服务攻击等危害
影响版本
HTTP/2为通用协议,漏洞广泛影响使用到HTTP/2协议的组件,包括不限于以下组件:
Netty:
Netty < 4.1.100.Final
Go:
Go < 1.21.3、1.20.10
Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93
grpc-go:
grpc-go < 1.58.3、1.57.1、1.56.3
jetty:
jetty < 12.0.2、10.0.17、11.0.17、9.4.53.v20231009
nghttp2:
nghttp2 < v1.57.0
Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2
安全版本
Netty:
Netty >= 4.1.100.Final
Go:
Go >= 1.21.3、1.20.10
Apache Tomcat:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94
grpc-go:
grpc-go >= 1.58.3、1.57.1、1.56.3
jetty:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009
nghttp2:
nghttp2 >= v1.57.0
Apache Traffic Server:
Apache Traffic Server >= 8.1.9、9.2.3
修复建议
请评估业务是否受HTTP/2 协议影响后,酌情升级 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等使用 HTTP/2 协议的组件至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考:
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/