執(zhí)行摘要

在這篇博文中，我們列出了至少 10 個(gè)受Cloudflare本周披露的 HTTP/2“快速重置”漏洞影響的開(kāi)源軟件包。

該漏洞編號(hào)為CVE-2023-44487，存在于 HTTP/2 協(xié)議中，或者更確切地說(shuō)存在于各種軟件項(xiàng)目（其中許多是開(kāi)源項(xiàng)目）實(shí)現(xiàn)的方式中。

據(jù) Cloudflare 稱，該漏洞源于 HTTP/2 協(xié)議中的一個(gè)弱點(diǎn)，可被利用“產(chǎn)生巨大的、超容量的分布式拒絕服務(wù) (DDoS) 攻擊”。據(jù)報(bào)道，利用該漏洞的攻擊者能夠發(fā)起“破紀(jì)錄”的 DDoS 攻擊，僅從 8 月到本月觀察到的每秒請(qǐng)求數(shù) (rps) 就超過(guò)了 2.01 億次。

雖然大肆宣傳的curl CVE最終被夸大了 [ 1 , 2 ] 并且沒(méi)有預(yù)期的那么糟糕，但另一方面，HTTP/2“快速重置”存在于多個(gè)開(kāi)源項(xiàng)目中并已被多個(gè)開(kāi)源項(xiàng)目修補(bǔ)——其中一些項(xiàng)目繼續(xù)宣布在最新版本中修復(fù)該缺陷。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了一份建議，敦促“提供 HTTP/2 服務(wù)的組織”在可用時(shí)應(yīng)用補(bǔ)丁，并考慮配置更改和其他緩解措施?！惫雀柙啤嗰R遜網(wǎng)絡(luò)服務(wù)(AWS)也發(fā)布了類似的建議。 ）和微軟.

而受該錯(cuò)誤影響的開(kāi)源項(xiàng)目包括Apple 的 swift-nio-http2 庫(kù)、 Eclipse Jetty、Tomcat Coyote 等。

受 HTTP/2“快速重置”影響的開(kāi)源項(xiàng)目

鑒于受 CVE-2023-44487 影響的不同組件數(shù)量眾多，我們選擇為這些項(xiàng)目分配不同的 Sonatype ID（如下所列），以簡(jiǎn)化編目并考慮到與各個(gè)項(xiàng)目相關(guān)的復(fù)雜性（例如向后移植）。

sonatype-2023-4379 - org.eclipse.jetty.http2:jetty-http2-common

sonatype-2023-4385 - proxygen

sonatype-2023-4380 - io.netty:netty-codec-http2

sonatype-2023-4382 - org.apache.tomcat:tomcat-coyote

sonatype-2023-4383 - github.com/nghttp2/nghttp2（golang）

sonatype-2023-4389 - Apache 流量服務(wù)器

sonatype-2023-4386 - google.golang.org/grpc

sonatype-2023-4387 - k8s.io/kubernetes

sonatype-2023-4384 - github.com/envoyproxy/envoy

sonatype-2023-4388 - libnghttp2

Sonatype 安全研究團(tuán)隊(duì)繼續(xù)跟蹤越來(lái)越多的受該缺陷影響的開(kāi)源項(xiàng)目，我們將根據(jù)這些披露信息及時(shí)更新我們的產(chǎn)品，以保護(hù)我們的客戶免受易受攻擊的組件的侵害。

建議用戶檢查其實(shí)例以獲取具體的檢測(cè)和修復(fù)建議。