【漏洞通告】HTTP/2协议拒绝服务漏洞

0x01 漏洞信息

漏洞名称：HTTP/2协议拒绝服务漏洞

漏洞编号：CVE-2023-44487

漏洞等级：高

披漏时间：2023年10月09日

0x02 漏洞描述

HTTP/2协议存在拒绝服务漏洞，攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击，使用HEADERS和RST_STREAM发送一组HTTP请求，并重复此模式在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧，导致每秒请求量显著增加，最终导致目标服务器资源耗尽，造成服务器拒绝服务。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	未公开	未公开

0x04 影响版本

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13、9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80、8.5.0 ≤ Apache Tomcat ≤ 8.5.93、11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

0x05 漏洞排查

用户尽快排查所有应用系统Wordpress应用版本是否再10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13、9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80、8.5.0 ≤ Apache Tomcat ≤ 8.5.93、11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11之间。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

当前组件官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://tomcat.apache.org/security11.html#Fixed_in_Apache_Tomcat_11.0.0-M12

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】HTTP/2协议拒绝服务漏洞