关于HTTP/2 协议拒绝服务漏洞（CVE-2023-44487）的预警提示

发布时间：2023-10-24浏览次数：2751

一、漏洞详情 HTTP/2（原名HTTP 2.0）即超文本传输协议第二版，使用于万维网。 近日，监测到HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧，取消请求，通过这种办法可以绕过并发流的限制，导致服务器资源的快速消耗。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Netty： Netty < 4.1.100.Final Go： Go < 1.21.3 Go < 1.20.10 Apache Tomcat： 11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11 10.1.0-M1 <= Apache Tomcat <= 10.1.13 9.0.0-M1 <= Apache Tomcat <= 9.0.80 8.5.0 <= Apache Tomcat <= 8.5.93 grpc-go： grpc-go < 1.58.3 grpc-go < 1.57.1 grpc-go < 1.56.3 jetty： jetty < 12.0.2 jetty < 10.0.17 jetty < 11.0.17 jetty < 9.4.53.v20231009 nghttp2： nghttp2 < v1.57.0 Apache Traffic Server： 8.0.0 <= Apache Traffic Server <= 8.1.8 9.0.0 <= Apache Traffic Server <= 9.2.2 三、修复建议 安全更新 Netty >= 4.1.100.Final： Go >= 1.21.3、1.20.10： Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94： grpc-go >= 1.58.3、1.57.1、1.56.3： jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009： nghttp2 >= v1.57.0： NGINX已修复该漏洞，开源用户可以从最新的代码库构建最新NGINX。