01 漏洞概况
近日,微步在线漏洞团队监测到 HTTP/2 协议存在拒绝服务漏洞(CVE-2023-44487)。恶意攻击者利用该漏洞可发起针对 HTTP/2 服务器的 DDoS攻击。
经分析,该漏洞成因是由于为了更高效的使用单个TCP连接,HTTP/2提供了STREAM的复用和并发功能,在并发场景下为了控制资源最大使用量,设置了最大并发数。但是一个TCP连接中HTTP/2 client端同时发送请求和该请求的重置帧(RST_STREAM)时,HTTP/2 server 端将不会认为该请求是活跃状态,不会计入并发数,因而会突破最大并发数的限制。因此当恶意客户端发送超大量的请求和该请求的重置帧(RST_STREAM)时,将最终导致服务器资源耗尽,造成拒绝服务。
值得一提的是,如果是经过 CDN 转发的场景,CDN 将会依次转发每个请求到上游服务器,当读取 RST_STREAM 帧时,再将该请求的本地状态将被拆除,再通知上游服务器请求被取消。因此当恶意客户端发送超大量的STREAM 和 STREAM的重置帧(RST_STREAM)时,将突破 CDN 的最大并发数的限制,但是上游服务器会处理所有的请求。经过CDN转发时DDoS的效果相比于直接访问源站时更明显。
已发现该漏洞在野利用,影响产品较多,建议受影响的客户做好防护。
02 漏洞处置优先级(VPT)
综合处置优先级:高
漏洞编号 | 微步编号 | XVE-2023-30195 |
漏洞评估 | 危害评级 | 严重 |
漏洞类型 | 拒绝服务 | |
公开程度 | PoC已公开 | |
利用条件 | 无权限要求 | |
交互要求 | 0-click | |
威胁类型 | 远程 | |
利用情报 | 微步已捕获攻击行为 | 是 |
影响产品 | 产品名称 | |
受影响版本 | ||
影响范围 | 百万级(影响产品范围为已发布修护版本的产品,实际受影响产品范围大于等于以上范围) | |
有无修复补丁 | 有 |
03 修复方案
1、官方修复方案:
升级至安全版本:
1.Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
2.Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
3.Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
4.grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
5.jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
6.nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
7.Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
2、临时修复方案:
2.其次,检查Web中间件是否在上述影响范围内,如果在影响范围内,可升级至安全版本,或可临时禁用HTTP2协议;
3.也可使用DDoS防御相关安全系统间接缓解该漏洞。
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
03 修复方案
1、官方修复方案:
升级至安全版本:
1.Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
2.Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
3.Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
4.grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
5.jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
6.nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
7.Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
2、临时修复方案:
2.其次,检查Web中间件是否在上述影响范围内,如果在影响范围内,可升级至安全版本,或可临时禁用HTTP2协议;
3.也可使用DDoS防御相关安全系统间接缓解该漏洞。
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
03 修复方案
1、官方修复方案:
升级至安全版本:
1.Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
2.Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
3.Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
4.grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
5.jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
6.nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
7.Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
2、临时修复方案:
2.其次,检查Web中间件是否在上述影响范围内,如果在影响范围内,可升级至安全版本,或可临时禁用HTTP2协议;
3.也可使用DDoS防御相关安全系统间接缓解该漏洞。
03 修复方案
1、官方修复方案:
升级至安全版本:
1.Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
2.Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
3.Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
4.grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
5.jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
6.nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
7.Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
2、临时修复方案:
2.其次,检查Web中间件是否在上述影响范围内,如果在影响范围内,可升级至安全版本,或可临时禁用HTTP2协议;
3.也可使用DDoS防御相关安全系统间接缓解该漏洞。
03 修复方案
1、官方修复方案:
升级至安全版本:
1.Netty >= 4.1.100.Fina:
https://github.com/netty/netty/tags
2.Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
3.Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://github.com/apache/tomcat/tags
4.grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
5.jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
6.nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
7.Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
2、临时修复方案:
3.也可使用DDoS防御相关安全系统间接缓解该漏洞。
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
---End---
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
---End---
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
04 时间线
2023.10.10 监测到漏洞情报2023.10.12 微步发布报告
04 时间线
2023.10.12 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...