关于HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)的预警提示

发布时间:2023-10-24浏览次数:2751

一、漏洞详情

HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。

近日,监测到HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Netty

Netty < 4.1.100.Final

Go

Go < 1.21.3

Go < 1.20.10

Apache Tomcat

11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11

10.1.0-M1 <= Apache Tomcat <= 10.1.13

9.0.0-M1 <= Apache Tomcat <= 9.0.80

8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

nghttp2

nghttp2 < v1.57.0

Apache Traffic Server

8.0.0 <= Apache Traffic Server <= 8.1.8

9.0.0 <= Apache Traffic Server <= 9.2.2

三、修复建议

安全更新

Netty >= 4.1.100.Final

Go >= 1.21.31.20.10

Apache Tomcat >= 11.0.0-M1210.1.149.0.818.5.94

grpc-go >= 1.58.31.57.11.56.3

jetty >= 12.0.210.0.1711.0.179.4.53.v20231009

nghttp2 >= v1.57.0

NGINX已修复该漏洞,开源用户可以从最新的代码库构建最新NGINX。