漏洞名称:
HTTP/2协议拒绝服务漏洞(CVE-2023-44487)
组件名称:
Apache Tomcat
Apache Traffic Server
Go
grpc-go
jetty
Netty
nghttp2
影响范围:
11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13
9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80
8.5.0 ≤ Apache Tomcat ≤ 8.5.93
8.0.0 ≤ Apache Traffic Server ≤ 8.1.8
9.0.0 ≤ Apache Traffic Server ≤ 9.2.2
Go < 1.21.3
Go < 1.20.10
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
Netty < 4.1.100.Final
nghttp2 < v1.57.0
漏洞类型:
拒绝服务
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权即可进行拒绝服务攻击。
<综合评定威胁等级>:高危,能造成服务器拒绝服务。
官方解决方案:
已发布
漏洞分析
组件介绍
HTTP/2是一种用于传输超文本的网络协议,它是HTTP/1.1的升级版本。HTTP/2采用了二进制协议,通过多路复用技术实现了更高效的数据传输。它还引入了头部压缩、服务器推送和流优先级等新特性,提升了网页加载速度和性能。HTTP/2的目标是减少延迟、提高安全性,并适应现代互联网应用的需求。
漏洞简介
2023年10月14日,深信服安全团队监测到一则HTTP/2协议存在拒绝服务漏洞的信息,漏洞编号:CVE-2023-44487,漏洞威胁等级:高危。
攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击,使用HEADERS和RST_STREAM发送一组HTTP请求,并重复此模式在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,导致每秒请求量显著增加,最终导致目标服务器资源耗尽,造成服务器拒绝服务。
影响范围
目前受影响的组件版本:
11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13
9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80
8.5.0 ≤ Apache Tomcat ≤ 8.5.93
8.0.0 ≤ Apache Traffic Server ≤ 8.1.8
9.0.0 ≤ Apache Traffic Server ≤ 9.2.2
Go < 1.21.3
Go < 1.20.10
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
Netty < 4.1.100.Final
nghttp2 < v1.57.0
解决方案
修复建议
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
https://github.com/apache/trafficserver/tags
https://github.com/golang/go/tags
https://github.com/grpc/grpc-go/releases
https://github.com/eclipse/jetty.project/releases
https://github.com/netty/netty/releases/tag/netty-4.1.100.Final
https://github.com/nghttp2/nghttp2/releases/
深信服解决方案
1.风险资产发现
支持对 Apache Tomcat、jetty 的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
【深信服云镜YJ】已发布资产检测方案。
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/zh-cn/technical-breakdown-http2-rapid-reset-ddos-attack-zh-cn/
时间轴
2023/10/14
深信服监测到HTTP/2协议拒绝服务漏洞攻击信息。
2023/10/14
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】HTTP/2协议拒绝服务漏洞CVE-2023-44487
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论