网信安全
    首页
    网信安全
    正文
    关于HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)的预警提示
    时间:2023年11月02日 10:07

     

    一、漏洞详情

    HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。

    近日,监测到HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。

    建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

    二、影响范围

    Netty:

    Netty < 4.1.100.Final

    Go:

    Go < 1.21.3

    Go < 1.20.10

    Apache Tomcat:

    11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11

    10.1.0-M1 <= Apache Tomcat <= 10.1.13

    9.0.0-M1 <= Apache Tomcat <= 9.0.80

    8.5.0 <= Apache Tomcat <= 8.5.93

    grpc-go:

    grpc-go < 1.58.3

    grpc-go < 1.57.1

    grpc-go < 1.56.3

    jetty:

    jetty < 12.0.2

    jetty < 10.0.17

    jetty < 11.0.17

    jetty < 9.4.53.v20231009

    nghttp2:

    nghttp2 < v1.57.0

    Apache Traffic Server:

    8.0.0 <= Apache Traffic Server <= 8.1.8

    9.0.0 <= Apache Traffic Server <= 9.2.2

    三、修复建议

    安全更新

    Netty >= 4.1.100.Final:

    Go >= 1.21.3、1.20.10:

    Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:

    grpc-go >= 1.58.3、1.57.1、1.56.3:

    jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:

    nghttp2 >= v1.57.0:

    NGINX已修复该漏洞,开源用户可以从最新的代码库构建最新NGINX

     

    © 洛阳师范学院信息化中心 2022

    制作维护:洛阳师范学院信息化中心