執行摘要

在這篇博文中，我們列出了至少 10 個受Cloudflare本周披露的 HTTP/2“快速重置”漏洞影響的開源軟件包。

該漏洞編號為CVE-2023-44487，存在于 HTTP/2 協議中，或者更確切地說存在于各種軟件項目（其中許多是開源項目）實現的方式中。

據 Cloudflare 稱，該漏洞源于 HTTP/2 協議中的一個弱點，可被利用“產生巨大的、超容量的分布式拒絕服務 (DDoS) 攻擊”。據報道，利用該漏洞的攻擊者能夠發起“破紀錄”的 DDoS 攻擊，僅從 8 月到本月觀察到的每秒請求數 (rps) 就超過了 2.01 億次。

雖然大肆宣傳的curl CVE最終被夸大了 [ 1 , 2 ] 并且沒有預期的那么糟糕，但另一方面，HTTP/2“快速重置”存在于多個開源項目中并已被多個開源項目修補——其中一些項目繼續宣布在最新版本中修復該缺陷。

美國網絡安全和基礎設施安全局 (CISA) 發布了一份建議，敦促“提供 HTTP/2 服務的組織”在可用時應用補丁，并考慮配置更改和其他緩解措施。”谷歌云、亞馬遜網絡服務(AWS)也發布了類似的建議。 ）和微軟.

而受該錯誤影響的開源項目包括Apple 的 swift-nio-http2 庫、 Eclipse Jetty、Tomcat Coyote 等。

受 HTTP/2“快速重置”影響的開源項目

鑒于受 CVE-2023-44487 影響的不同組件數量眾多，我們選擇為這些項目分配不同的 Sonatype ID（如下所列），以簡化編目并考慮到與各個項目相關的復雜性（例如向后移植）。

sonatype-2023-4379 - org.eclipse.jetty.http2:jetty-http2-common

sonatype-2023-4385 - proxygen

sonatype-2023-4380 - io.netty:netty-codec-http2

sonatype-2023-4382 - org.apache.tomcat:tomcat-coyote

sonatype-2023-4383 - github.com/nghttp2/nghttp2（golang）

sonatype-2023-4389 - Apache 流量服務器

sonatype-2023-4386 - google.golang.org/grpc

sonatype-2023-4387 - k8s.io/kubernetes

sonatype-2023-4384 - github.com/envoyproxy/envoy

sonatype-2023-4388 - libnghttp2

Sonatype 安全研究團隊繼續跟蹤越來越多的受該缺陷影響的開源項目，我們將根據這些披露信息及時更新我們的產品，以保護我們的客戶免受易受攻擊的組件的侵害。

建議用戶檢查其實例以獲取具體的檢測和修復建議。