高危保安警报 (A23-10-16): HTTP/2 规约漏洞

描述:

一个 HTTP/2 规约漏洞被发现。远端攻击者可向受影响的系统传送特制的请求，从而发动分布式拒绝服务(DDoS)攻击，这种攻击亦被称为「快速重置」(Rapid Reset)。

有报告指一个 HTTP/2 规约的拒绝服务漏洞 (CVE-2023-44487) 正被利用来发动分布式拒绝服务(DDoS)攻击。这种攻击亦被称为「快速重置」。系统管理员应立即为受影响的系统安装修补程式或遵从产品供应商的建议，以减低受到网络攻击的风险。

受影响的系统:

• 启用了 HTTP/2 规约的系统

影响:

成功利用漏洞可以在受影响的系统导致服务被拒绝。

建议:

以下列出了部份产品供应商所发布的安全公告。我们强烈建议用户向产品供应商查询正在使用的软件产品是否受到影响，以及相应修补程式或缓解措施是否已可获取。系统管理员应立即安装相关的修补程式或遵从产品供应商的建议以降低风险。

• Apache Tomcat
  https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
  https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
  https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
  https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
• Debian
  https://www.debian.org/security/2023/dsa-5521
  https://www.debian.org/security/2023/dsa-5522
• F5
  https://my.f5.com/manage/s/article/K000137106
• Microsoft
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
• Netscaler
  https://www.netscaler.com/blog/news/how-to-mitigate-the-http-2-rapid-reset-vulnerability-on-netscaler/
• Nginx
  https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
• Node.js
  https://nodejs.org/en/blog/vulnerability/october-2023-security-releases
• RedHat
  https://access.redhat.com/security/cve/CVE-2023-44487
• SUSE
  https://www.suse.com/security/cve/CVE-2023-44487.html
• Ubuntu
  https://ubuntu.com/security/CVE-2023-44487

进一步资讯:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-44487
• https://www.hkcert.org/tc/security-bulletin/apache-tomcat-multiple-vulnerabilities_20231012
• https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-october-2023
• https://www.hkcert.org/tc/security-bulletin/node-js-multiple-vulnerabilities_20231016