漏洞分析

组件介绍

HTTP/2是一种用于传输超文本的网络协议，它是HTTP/1.1的升级版本。HTTP/2采用了二进制协议，通过多路复用技术实现了更高效的数据传输。它还引入了头部压缩、服务器推送和流优先级等新特性，提升了网页加载速度和性能。HTTP/2的目标是减少延迟、提高安全性，并适应现代互联网应用的需求。

漏洞描述

2023年10月14日，深信服安全团队监测到一则HTTP/2协议存在拒绝服务漏洞的信息，漏洞编号：CVE-2023-44487，漏洞威胁等级：高危。

攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击，使用HEADERS和RST_STREAM发送一组HTTP请求，并重复此模式在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧，导致每秒请求量显著增加，最终导致目标服务器资源耗尽，造成服务器拒绝服务。

影响范围

目前受影响的组件版本：

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

官方修复建议

当前各组件官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。