【漏洞通告】HTTP2 协议拒绝服务漏洞

漏洞描述

2023 年 10 月 16 日监测到 HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)情报。HTTP/2(原名 HTTP 2.0) 即超文本传输协议第二版, 使用于万维网。 HTTP/2 主要基于 SPDY 协议, 通过对 HTTP 头字段进行数据压缩、 对数据传输采用多路复用和增加服务端推送等举措, 来减少网络延迟, 提高客户端的页面加载速度。 恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM 帧, 取消请求, 通过这种办法可以绕过并发流的限制, 导致服务器资源的快速消耗。

漏洞编号

CVE-2023-44487

漏洞等级

高 危

受影响版本

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

修复方案

目前官方已修复该漏洞, 受影响用户可以升级更新到安全版本。