HTTP/2是一种用于传输超文本的网络协议，它是HTTP/1.1的升级版本。HTTP/2采用了二进制协议，通过多路复用技术实现了更高效的数据传输。它还引入了头部压缩、服务器推送和流优先级等新特性，提升了网页加载速度和性能。HTTP/2的目标是减少延迟、提高安全性，并适应现代互联网应用的需求。

2023年10月14日，深信服安全团队监测到一则HTTP/2协议存在拒绝服务漏洞的信息，漏洞编号：CVE-2023-44487，漏洞威胁等级：高危。

攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击，使用HEADERS和RST_STREAM发送一组HTTP请求，并重复此模式在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧，导致每秒请求量显著增加，最终导致目标服务器资源耗尽，造成服务器拒绝服务。

目前受影响的组件版本：

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M11

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.13

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.80

8.5.0 ≤ Apache Tomcat ≤ 8.5.93

8.0.0 ≤ Apache Traffic Server ≤ 8.1.8

9.0.0 ≤ Apache Traffic Server ≤ 9.2.2

Go < 1.21.3

Go < 1.20.10

grpc-go < 1.58.3

grpc-go < 1.57.1

grpc-go < 1.56.3

jetty < 12.0.2

jetty < 10.0.17

jetty < 11.0.17

jetty < 9.4.53.v20231009

Netty < 4.1.100.Final

nghttp2 < v1.57.0

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

https://github.com/apache/trafficserver/tags

https://github.com/golang/go/tags

https://github.com/grpc/grpc-go/releases

https://github.com/eclipse/jetty.project/releases

https://github.com/netty/netty/releases/tag/netty-4.1.100.Final

https://github.com/nghttp2/nghttp2/releases/

1.风险资产发现

支持对 Apache Tomcat、jetty 的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服主机安全检测响应平台CWPP】已发布资产检测方案。

【深信服云镜YJ】已发布资产检测方案。

https://nvd.nist.gov/vuln/detail/CVE-2023-44487

https://blog.cloudflare.com/zh-cn/technical-breakdown-http2-rapid-reset-ddos-attack-zh-cn/

深信服监测到HTTP/2协议拒绝服务漏洞攻击信息。 

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。