99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

HTTP/2 協(xié)議拒絕服務(wù)漏洞預(yù)警通告

發(fā)布日期：2023-10-16

?

漏洞描述

2023年10月16日公司監(jiān)測到HTTP/2協(xié)議拒絕服務(wù)漏洞(CVE-2023-44487)情報。HTTP/2（原名HTTP 2.0）即超文本傳輸協(xié)議第二版，使用于萬維網(wǎng)。HTTP/2主要基于SPDY協(xié)議，通過對HTTP頭字段進行數(shù)據(jù)壓縮、對數(shù)據(jù)傳輸采用多路復(fù)用和增加服務(wù)端推送等舉措，來減少網(wǎng)絡(luò)延遲，提高客戶端的頁面加載速度。惡意攻擊者可通過打開多個請求流并立即通過發(fā)送RST_STREAM幀，取消請求，通過這種辦法可以繞過并發(fā)流的限制，導(dǎo)致服務(wù)器資源的快速消耗。

漏洞編號

CVE-2023-44487

漏洞危害

攻擊者可通過打開多個請求流并立即通過發(fā)送RST_STREAM幀，取消請求，通過這種辦法可以繞過并發(fā)流的限制，導(dǎo)致服務(wù)器資源的快速消耗。

漏洞等級

高危
受影響版本

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

修復(fù)方案

目目前官方已修復(fù)該漏洞，受影響用戶可以升級更新到安全版本。官方下載鏈接：

Netty >= 4.1.100.Fina：

https://github.com/netty/netty/tags

Go >= 1.21.3、1.20.10：

https://github.com/golang/go/tags

Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94：

https://github.com/apache/tomcat/tags

grpc-go >= 1.58.3、1.57.1、1.56.3：

https://github.com/grpc/grpc-go/releases

jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009：

https://github.com/eclipse/jetty.project/releases

nghttp2 >= v1.57.0：

https://github.com/nghttp2/nghttp2/releases

Apache Traffic Server >= 8.1.9、9.2.3：

https://github.com/apache/trafficserver/tags

參考鏈接

https://aws.amazon.com/security/security-bulletins/AWS-2023-011/