关于HTTP/2 协议拒绝服务漏洞（CVE-2023-44487）的预警提示

发布时间: 2023-11-21 　　　　访问次数: 10

一、漏洞详情

HTTP/2（原名HTTP 2.0）即超文本传输协议第二版，使用于万维网。

近日，监测到HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧，取消请求，通过这种办法可以绕过并发流的限制，导致服务器资源的快速消耗。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Netty：

Netty < 4.1.100.Final

Go：

Go < 1.21.3

Go < 1.20.10

Apache Tomcat：

11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11

10.1.0-M1 <= Apache Tomcat <= 10.1.13

9.0.0-M1 <= Apache Tomcat <= 9.0.80

8.5.0 <= Apache Tomcat <= 8.5.93

grpc-go：

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty：

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

nghttp2：

nghttp2 < v1.57.0

Apache Traffic Server：

8.0.0 <= Apache Traffic Server <= 8.1.8

9.0.0 <= Apache Traffic Server <= 9.2.2

三、修复建议

安全更新

Netty >= 4.1.100.Final：

Go >= 1.21.3、1.20.10：

Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94：

grpc-go >= 1.58.3、1.57.1、1.56.3：

jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009：

nghttp2 >= v1.57.0：

NGINX已修复该漏洞，开源用户可以从最新的代码库构建最新NGINX