執(zhí)行摘要

在這篇博文中，我們列出了至少 10 個受Cloudflare本周披露的 HTTP/2“快速重置”漏洞影響的開源軟件包。

該漏洞編號為CVE-2023-44487，存在于 HTTP/2 協(xié)議中，或者更確切地說存在于各種軟件項目（其中許多是開源項目）實現(xiàn)的方式中。

據(jù) Cloudflare 稱，該漏洞源于 HTTP/2 協(xié)議中的一個弱點，可被利用“產(chǎn)生巨大的、超容量的分布式拒絕服務(wù) (DDoS) 攻擊”。據(jù)報道，利用該漏洞的攻擊者能夠發(fā)起“破紀(jì)錄”的 DDoS 攻擊，僅從 8 月到本月觀察到的每秒請求數(shù) (rps) 就超過了 2.01 億次。

雖然大肆宣傳的curl CVE最終被夸大了 [ 1 , 2 ] 并且沒有預(yù)期的那么糟糕，但另一方面，HTTP/2“快速重置”存在于多個開源項目中并已被多個開源項目修補——其中一些項目繼續(xù)宣布在最新版本中修復(fù)該缺陷。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了一份建議，敦促“提供 HTTP/2 服務(wù)的組織”在可用時應(yīng)用補丁，并考慮配置更改和其他緩解措施。”谷歌云、亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)也發(fā)布了類似的建議。 ）和微軟.

而受該錯誤影響的開源項目包括Apple 的 swift-nio-http2 庫、 Eclipse Jetty、Tomcat Coyote 等。

受 HTTP/2“快速重置”影響的開源項目

鑒于受 CVE-2023-44487 影響的不同組件數(shù)量眾多，我們選擇為這些項目分配不同的 Sonatype ID（如下所列），以簡化編目并考慮到與各個項目相關(guān)的復(fù)雜性（例如向后移植）。

sonatype-2023-4379 - org.eclipse.jetty.http2:jetty-http2-common

sonatype-2023-4385 - proxygen

sonatype-2023-4380 - io.netty:netty-codec-http2

sonatype-2023-4382 - org.apache.tomcat:tomcat-coyote

sonatype-2023-4383 - github.com/nghttp2/nghttp2（golang）

sonatype-2023-4389 - Apache 流量服務(wù)器

sonatype-2023-4386 - google.golang.org/grpc

sonatype-2023-4387 - k8s.io/kubernetes

sonatype-2023-4384 - github.com/envoyproxy/envoy

sonatype-2023-4388 - libnghttp2

Sonatype 安全研究團(tuán)隊繼續(xù)跟蹤越來越多的受該缺陷影響的開源項目，我們將根據(jù)這些披露信息及時更新我們的產(chǎn)品，以保護(hù)我們的客戶免受易受攻擊的組件的侵害。

建議用戶檢查其實例以獲取具體的檢測和修復(fù)建議。