腾讯云公告 > 公告详情
扫码查看公告

【安全通告】HTTP/2 远程拒绝服务漏洞风险通告(CVE-2023-44487)

尊敬的腾讯云用户,您好!

腾讯云安全中心监测到, HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞,漏洞编号CVE-2023-44487。可导致业务被拒绝服务攻击等危害。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情
HTTP/2 是一种网络协议,用于在客户端和服务器之间传输超文本传输协议(HTTP)消息。它是 HTTP/1.1的后续版本,主要提供更高效的数据传输和更好的性能。

由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞,攻击者可以利用该漏洞重复发送和取消请求,从而导致拒绝服务攻击。目前该漏洞已被在野利用。

风险等级
高风险

漏洞风险
导致业务被拒绝服务攻击等危害

影响版本
HTTP/2为通用协议,漏洞广泛影响使用到HTTP/2协议的组件,包括不限于以下组件:

Netty:
Netty < 4.1.100.Final

Go:
Go < 1.21.3、1.20.10

Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go:
grpc-go < 1.58.3、1.57.1、1.56.3

jetty:
jetty < 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 < v1.57.0

Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2


安全版本
Netty:
Netty >= 4.1.100.Final

Go:
Go >= 1.21.3、1.20.10

Apache Tomcat:
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94

grpc-go:
grpc-go >= 1.58.3、1.57.1、1.56.3

jetty:
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009

nghttp2:
nghttp2 >= v1.57.0

Apache Traffic Server:
Apache Traffic Server >= 8.1.9、9.2.3

修复建议
请评估业务是否受HTTP/2 协议影响后,酌情升级 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等使用 HTTP/2 协议的组件至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/



img

2023-10-11