在这篇博文中,我们列出了至少 10 个受Cloudflare本周披露的 HTTP/2“快速重置”漏洞影响的开源软件包。
创新互联主要从事成都网站建设、做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务五台,十余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575
该漏洞编号为CVE-2023-44487,存在于 HTTP/2 协议中,或者更确切地说存在于各种软件项目(其中许多是开源项目)实现的方式中。
据 Cloudflare 称,该漏洞源于 HTTP/2 协议中的一个弱点,可被利用“产生巨大的、超容量的分布式拒绝服务 (DDoS) 攻击”。据报道,利用该漏洞的攻击者能够发起“破纪录”的 DDoS 攻击,仅从 8 月到本月观察到的每秒请求数 (rps) 就超过了 2.01 亿次。
虽然大肆宣传的curl CVE最终被夸大了 [ 1 , 2 ] 并且没有预期的那么糟糕,但另一方面,HTTP/2“快速重置”存在于多个开源项目中并已被多个开源项目修补——其中一些项目继续宣布在最新版本中修复该缺陷。
美国网络安全和基础设施安全局 (CISA) 发布了一份建议,敦促“提供 HTTP/2 服务的组织”在可用时应用补丁,并考虑配置更改和其他缓解措施。”谷歌云、亚马逊网络服务(AWS)也发布了类似的建议。 )和微软.
而受该错误影响的开源项目包括Apple 的 swift-nio-http2 库、 Eclipse Jetty、Tomcat Coyote 等。
鉴于受 CVE-2023-44487 影响的不同组件数量众多,我们选择为这些项目分配不同的 Sonatype ID(如下所列),以简化编目并考虑到与各个项目相关的复杂性(例如向后移植)。
sonatype-2023-4379 - org.eclipse.jetty.http2:jetty-http2-common
sonatype-2023-4385 - proxygen
sonatype-2023-4380 - io.netty:netty-codec-http2
sonatype-2023-4382 - org.apache.tomcat:tomcat-coyote
sonatype-2023-4383 - github.com/nghttp2/nghttp2(golang)
sonatype-2023-4389 - Apache 流量服务器
sonatype-2023-4386 - google.golang.org/grpc
sonatype-2023-4387 - k8s.io/kubernetes
sonatype-2023-4384 - github.com/envoyproxy/envoy
sonatype-2023-4388 - libnghttp2
Sonatype 安全研究团队继续跟踪越来越多的受该缺陷影响的开源项目,我们将根据这些披露信息及时更新我们的产品,以保护我们的客户免受易受攻击的组件的侵害。
建议用户检查其实例以获取具体的检测和修复建议。
分享题目:遭受HTTP/2“快速重置”零日攻击的十大开源项目
标题路径:http://www.shufengxianlan.com/qtweb/news17/34117.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联