【一键重装系统源码】【substrutehook源码】【wait源码】jetty源码 8.1.17

2024-11-25 05:52:11 来源:语记 源码 分类:休闲

1.HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)安全风险通告

jetty源码 8.1.17

HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)安全风险通告

       近期,奇安信CERT监测到互联网上公开利用HTTP/2协议拒绝服务漏洞(CVE--)进行攻击的详细信息。该漏洞允许恶意攻击者对HTTP/2服务器发起分布式拒绝服务(DDoS)攻击,通过发送一组HEADERS和RST_STREAM请求,一键重装系统源码并重复此模式,导致目标HTTP/2服务器上生成大量流量。利用单个连接中打包多个HEADERS和RST_STREAM帧的机制,可使每秒请求量显著增加,造成服务器CPU利用率过高,最终资源耗尽,从而导致拒绝服务。substrutehook源码

       鉴于此漏洞影响范围广泛,已存在野利用情况,建议天守客户立即进行自查和防护。

       详细漏洞情况如下:

       一、漏洞详情

       此漏洞允许攻击者利用特定的wait源码HTTP/2协议操作,对服务器发起DDoS攻击,可能导致服务器CPU过载,直至资源耗尽。

       二、不受影响版本

       Nginx默认配置下,panli源码客户端最多保持个HTTP连接,此限制有助于防止此类攻击。

       但需注意,若配置参数keepalive_requests值过高,同样可能导致受影响。战斗源码

       三、受影响版本

       Netty:4.1..Final以下版本

       Go:1..3、1..以下版本

       Apache Tomcat:.0.0-M1至.0.0-M、.1.0-M1至.1.、9.0.0-M1至9.0.、8.5.0至8.5.

       grpc-go:1..3以下、1..1以下、1..3以下版本

       jetty:.0.2以下、.0.以下、.0.以下、9.4..v以下版本

       ng/bcdannyboy/C...

       2. 缓解措施:

       启用Web应用防火墙(WAF)或DDoS防御系统(此类系统通常具有速率限制,可间接缓解该漏洞);

       避免将应用完全暴露在公网;

       在Web服务上禁用HTTP2协议。

       3. 安全升级:

       针对受影响版本进行升级,以获得修复。

       Netty:4.1..Final及以上版本

       Go:1..3、1..及以上版本

       Apache Tomcat:.0.0-M及以上、.1.及以上、9.0.及以上、8.5.及以上版本

       grpc-go:1..3及以上、1..1及以上、1..3及以上版本

       jetty:.0.2及以上、.0.及以上、.0.及以上、9.4..v及以上版本

       ng/security...

       [2] blog.cloudflare.com/tec...

       [3] blog.cloudflare.com/zer...

       [4] cloud.google.com/blog/p...

       [5] cloud.google.com/blog/p...

本文地址:http://5o.net.cn/news/8d114898843.html 欢迎转发