【漏洞通告】HTTP2 协议拒绝服务漏洞
发布日期:2023-10-16 阅读次数:
漏洞描述
2023 年 10 月 16 日监测到 HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)情报。HTTP/2(原名 HTTP 2.0) 即超文本传输协议第二版, 使用于万维网。 HTTP/2 主要基于 SPDY 协议, 通过对 HTTP 头字段进行数据压缩、 对数据传输采用多路复用和增加服务端推送等举措, 来减少网络延迟, 提高客户端的页面加载速度。 恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM 帧, 取消请求, 通过这种办法可以绕过并发流的限制, 导致服务器资源的快速消耗。
漏洞编号
CVE-2023-44487
漏洞等级
高 危
受影响版本
11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13
9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80
8.5.0 ≤ Apache Tomcat ≤ 8.5.93
8.0.0 ≤ Apache Traffic Server ≤ 8.1.8
9.0.0 ≤ Apache Traffic Server ≤ 9.2.2
Go < 1.21.3
Go < 1.20.10
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
Netty < 4.1.100.Final
nghttp2 < v1.57.0
修复方案
目前官方已修复该漏洞, 受影响用户可以升级更新到安全版本。