遭受 HTTP/2“快速重置”零日攻击的十大开源项目

执行摘要

在这篇博文中，快速重置我们列出了至少 10 个受Cloudflare本周披露的遭受 HTTP/2“快速重置”漏洞影响的开源软件包 。

该漏洞编号为CVE-2023-44487 ，零日存在于 HTTP/2 协议中 ，攻击或者更确切地说存在于各种软件项目（其中许多是开源开源项目）实现的方式中 。

据 Cloudflare 称，高防服务器项目该漏洞源于 HTTP/2 协议中的快速重置一个弱点，可被利用“产生巨大的遭受、超容量的零日分布式拒绝服务 (DDoS) 攻击”。据报道 ，攻击利用该漏洞的开源攻击者能够发起“破纪录”的建站模板 DDoS 攻击，仅从 8 月到本月观察到的项目每秒请求数 (rps) 就超过了 2.01 亿次。

虽然大肆宣传的快速重置curl CVE最终被夸大了 [ 1 , 2 ] 并且没有预期的那么糟糕 ，但另一方面，遭受HTTP/2“快速重置”存在于多个开源项目中并已被多个开源项目修补——其中一些项目继续宣布在最新版本中修复该缺陷。零日

美国网络安全和基础设施安全局 (CISA) 发布了一份建议 ，源码库敦促“提供 HTTP/2 服务的组织”在可用时应用补丁  ，并考虑配置更改和其他缓解措施。”谷歌云、亚马逊网络服务(AWS)也发布了类似的建议 。 ）和微软.

而受该错误影响的开源项目包括Apple 的 swift-nio-http2 库、香港云服务器 Eclipse Jetty、Tomcat Coyote 等 。

受 HTTP/2“快速重置”影响的开源项目

鉴于受 CVE-2023-44487 影响的不同组件数量众多 ，我们选择为这些项目分配不同的 Sonatype ID（如下所列） ，以简化编目并考虑到与各个项目相关的复杂性（例如向后移植） 。亿华云

sonatype-2023-4379 - org.eclipse.jetty.http2:jetty-http2-common

sonatype-2023-4385 - proxygen

sonatype-2023-4380 - io.netty:netty-codec-http2

sonatype-2023-4382 - org.apache.tomcat:tomcat-coyote

sonatype-2023-4383 - github.com/nghttp2/nghttp2（golang）

sonatype-2023-4389 - Apache 流量服务器

sonatype-2023-4386 - google.golang.org/grpc

sonatype-2023-4387 - k8s.io/kubernetes

sonatype-2023-4384 - github.com/envoyproxy/envoy

sonatype-2023-4388 - libnghttp2

Sonatype 安全研究团队继续跟踪越来越多的受该缺陷影响的开源项目，我们将根据这些披露信息及时更新我们的产品，以保护我们的客户免受易受攻击的组件的侵害。源码下载

建议用户检查其实例以获取具体的检测和修复建议。