HTTP/2 中的漏洞

最新推荐文章于 2024-06-17 17:05:22 发布
最新推荐文章于 2024-06-17 17:05:22 发布
阅读量3k 收藏 1
点赞数
分类专栏: Positive Technologies MaxPatrol VM 漏洞 文章标签: http 网络协议 网络 安全 web安全 人工智能 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ptsecurity/article/details/133780956
版权

另一个热门漏洞是 CVE-2023-44487

该漏洞与 HTTP/2 协议实施中的一个缺陷有关,可用于实施 DDoS 攻击。使用该漏洞的攻击被命名为 HTTP/2 快速重置。

为什么它很危险

要利用该漏洞,攻击者需要在 HTTP/2 会话中打开大量请求,然后在不等待服务器响应的情况下,使用RST_STREAM 请求中断连接。利用该漏洞可以在客户端负载最小的情况下,向服务器发送大量请求流,从而导致系统拒绝服务。谷歌和 Cloudflare 的产品和服务中也出现过类似的攻击。

❗️要修复 CVE-2023-44487,请遵循供应商的建议。我们在下面分享更新链接。Microsoft 已发布 IIS (HTTP.sys) 和 .NET (Kestrel) 的更新。Apache 软件基金会发布了 Tomcat 的更新,F5 发布了 Nginx 的更新。

⚠️ 怎么办?

使用 MaxPatrol VM扫描主机是否存在 CVE-2023-44487漏洞。如果安装了最新的知识库更新,将自动识别易受攻击的资产。

@Positive_Technologies

ptsecurity
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
axis2组件漏洞问题
08-01
推荐版本1.7.5
struts2漏洞.rar
06-05
用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接,command goes here可以换成是破坏脚本的...
CVE-2023-44487 HTTP2漏洞
hackzkaq的博客
11-02 1244
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 4353
Geoserver是我们常用的地图服务器,在开源系统的应用比较广泛。在实际环境,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
深入分析 CVE-2023-44487 HTTP2 快速重置攻击对 Nginx 的影响
最新发布
2401_84466336的博客
06-17 1182
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128需要说明的是,Nginx 1.19.7 及其之后版本是通过。
CVE-2023-44487漏洞修复
单调枯燥的CC的博客
04-28 510
CVE-2023-44487漏洞修复
Zookeeper处理jetty CVE-2023-44487漏洞
lanluyug的博客
03-01 952
Apache HTTP/2拒绝服务漏洞(CVE-2023-44487) jetty/9.4.52.v20230823。直接在zookeeper安装目录下lib里替换jetty相关的包。重启zookeeper。
HTTP/2 漏洞CVE-2023-44487
2301_80115097的博客
10-19 9309
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
最新 HTTP/2 漏洞曝光,直指 Kubernetes!
CSDN资讯
09-30 2581
在这个数据、应用横行的时代,漏洞的出现早已屡见不鲜。在尚未造成大面积危害之前,我们该如何做好防御措施?或许从过往经常发生漏洞的事件我们能够得到一些启发。 近日,Netflix、Google 及 CERT/CC 披露了 HTTP/2 相关的 8 个安全漏洞,就连用来打造 Kubernetes 的 Go 语言也受到其两个漏洞的波及,导致 Kubernetes 所有版本都受到相关漏洞影响,可...
HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复
热门推荐
懂哥的博客
03-12 2万+
一、概述 nginx 1.16.1 稳定版和 nginx 1.17.3 主线版发布 修复安全问题 nginx 1.17.3 安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) Bugfix:使用 gzipping 时 "zero size buf" 警告可能会出现在日志...
漏洞CVE-2023-44487 HTTP2
zkaqlaoniao的博客
10-31 1707
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,CVE-2023-44487,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。之前文章我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128。
被 DDoS 漏洞 ping 的 HTTP/2
ZY18923847290的博客
12-22 217
HTTP/2 - 跨网络使用的 HTTP 网络协议的主要修订版 - 容易出现一系列拒绝服务问题。 Netflix 和谷歌的安全研究人员发现,各种 HTTP/2 实现在尝试处理异常流量时会受到几个不同的资源耗尽向量的影响。 任何问题都为不法分子创建了一种可能的机制,可以对支持 HTTP/2 通信的服务器发起分布式拒绝服务 (DDoS) 攻击。 一些供应商已经应用了补丁,建议运行支持技术的网站应用。 在没有可用补丁的情况下,或者在无法及时应用的情况下,建议用户暂停对 HTTP/2 的支持,以防万一。
漏洞验证:HTTP/2的快速重置DOS攻击(CVE-2023-44487)
weixin_53523921的博客
10-24 2639
攻击者就可以利用该漏洞,通过持续的HEADERS、RST_STREAM帧组合,来消耗 服务器 资源,进而影响 服务器 正常请求的处理,造成 DDoS 攻击。
Struts2漏洞检查工具2018版.rar
03-31
标题的"Struts2漏洞检查工具2018版.rar"指的是一个专门针对Struts2框架的2018年发布的漏洞检测工具。这个工具可能包含了针对那时已知的Struts2安全问题的扫描功能,帮助系统管理员和开发者识别并修复潜在的安全...
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境,安全问题日益凸显,特别是针对开源组件的安全漏洞。Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...
HTTP请求走私漏洞简单分析
Aiwin的博客
07-30 1186
HTTP请求走私漏洞简单分析
Node.js HTTP/2 CONTINUATION 拒绝服务漏洞(CVE-2024-27983)
weixin_46356409的博客
04-07 809
HTTP/2的标头(Header)和HTTP/1.x的请求头(Request Header)在概念上是类似的,它们都包含了在HTTP请求和响应传输的元数据。在HTTP/1.x,请求头和响应头是以纯文本形式传输的,每个头部字段由一个名称和一个值组成,名称和值之间用冒号分隔。这意味着,从功能和用途的角度来看,HTTP/2的头部和HTTP/1.x的请求头是相似的。HTTP/1.x没有这个功能。HTTP/2和HTTP/1.x(如HTTP/1.1)是互联网上用于传输网页和其他数据的两个主要版本的HTTP协议。
HTTP请求走私漏洞
Atkx's Blog
04-11 4918
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
开源C/C++项目漏洞例子
05-12
以下是一些开源C/C++项目漏洞例子: 1. OpenSSL漏洞:在2014年,一个名为“心脏出血”(Heartbleed)的漏洞被公开,该漏洞影响了OpenSSL库的版本1.0.1和1.0.2。该漏洞允许攻击者从服务器内存读取数据,包括用户密码和私钥等敏感信息。 2. Apache Struts 2漏洞:在2017年,一个名为“Equifax”的大规模数据泄露事件发生,其包含了约1.43亿美国消费者的敏感信息。这是由于Apache Struts 2漏洞引起的,该漏洞允许攻击者远程执行代码,导致服务器受到攻击。 3. libpng漏洞:在2015年,一种名为“badpng”的漏洞被公开,影响了大量使用libpng库的应用程序。该漏洞允许攻击者通过特制的PNG图像文件来执行任意代码。 4. Bash漏洞:在2014年,一个名为“Shellshock”的漏洞被公开,影响了许多使用Bash Shell的Linux和Unix系统。该漏洞允许攻击者通过构造的环境变量来执行任意代码。 5. ImageMagick漏洞:在2016年,一个名为“ImageTragick”的漏洞被公开,影响了ImageMagick图像处理库的版本6.2.9到6.9.3-10。该漏洞允许攻击者通过恶意图像文件来执行任意代码。 需要注意的是,这些漏洞已经被修复,因此如果您使用的是最新版本的这些库或应用程序,您将不会受到这些漏洞的影响。然而,这些漏洞的存在提醒我们,开发人员需要审查和测试他们使用的库和代码,以确保其安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值