高危保安警報 (A23-10-16): HTTP/2 規約漏洞

描述:

一個 HTTP/2 規約漏洞被發現。遠端攻擊者可向受影響的系統傳送特製的請求，從而發動分布式拒絕服務(DDoS)攻擊，這種攻擊亦被稱為「快速重置」(Rapid Reset)。

有報告指一個 HTTP/2 規約的拒絕服務漏洞 (CVE-2023-44487) 正被利用來發動分布式拒絕服務(DDoS)攻擊。這種攻擊亦被稱為「快速重置」。系統管理員應立即為受影響的系統安裝修補程式或遵從產品供應商的建議，以減低受到網絡攻擊的風險。

受影響的系統:

• 啟用了 HTTP/2 規約的系統

影響:

成功利用漏洞可以在受影響的系統導致服務被拒絕。

建議:

以下列出了部份產品供應商所發布的安全公告。我們強烈建議用戶向產品供應商查詢正在使用的軟件產品是否受到影響，以及相應修補程式或緩解措施是否已可獲取。系統管理員應立即安裝相關的修補程式或遵從產品供應商的建議以降低風險。

• Apache Tomcat
  https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
  https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
  https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
  https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
• Debian
  https://www.debian.org/security/2023/dsa-5521
  https://www.debian.org/security/2023/dsa-5522
• F5
  https://my.f5.com/manage/s/article/K000137106
• Microsoft
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
• Netscaler
  https://www.netscaler.com/blog/news/how-to-mitigate-the-http-2-rapid-reset-vulnerability-on-netscaler/
• Nginx
  https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
• Node.js
  https://nodejs.org/en/blog/vulnerability/october-2023-security-releases
• RedHat
  https://access.redhat.com/security/cve/CVE-2023-44487
• SUSE
  https://www.suse.com/security/cve/CVE-2023-44487.html
• Ubuntu
  https://ubuntu.com/security/CVE-2023-44487

進一步資訊:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-44487
• https://www.hkcert.org/tc/security-bulletin/apache-tomcat-multiple-vulnerabilities_20231012
• https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-october-2023
• https://www.hkcert.org/tc/security-bulletin/node-js-multiple-vulnerabilities_20231016