一、漏洞简介

1.1 漏洞背景

HTTP/2 协议允许客户端通过重置流来取消请求。该漏洞利用了 HTTP/2 的这一特性进行拒绝服务攻击。

1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)

项目 内容
漏洞编号 CVE-2023-44487
危害等级 HIGH / 7.5
漏洞类型 HTTP/2 Rapid Reset攻击
披露时间 2023-10-10
影响组件 Kubernetes
  • CVE编号: CVE-2023-44487
  • 危害等级: 高危 (High)
  • CVSS评分: 7.5
  • 漏洞类型: 拒绝服务 (DoS)
  • 影响范围: 广泛影响使用 HTTP/2 的服务和基础设施

补充核验信息:公开时间:2023-10-10;NVD 评分:7.5(HIGH);CWE:CWE-400。

二、影响范围

2.1 受影响的版本

  • Kubernetes API Server(使用 HTTP/2)
  • etcd
  • Ingress Controllers
  • 所有使用 HTTP/2 的 Kubernetes 组件

2.2 不受影响的版本

升级相关组件后修复,包括: - Go 语言升级 - nghttp2 升级到 v1.57.0+

2.3 触发条件(如特定模块、特定配置、特定运行环境等)

  1. 服务启用 HTTP/2
  2. 攻击者可发送大量 HTTP/2 请求

三、漏洞详情与原理解析

3.1 漏洞触发机制

HTTP/2 Rapid Reset 攻击原理:

客户端 → 服务器: HEADERS (请求1)
客户端 → 服务器: RST_STREAM (取消请求1)
客户端 → 服务器: HEADERS (请求2)
客户端 → 服务器: RST_STREAM (取消请求2)
... (重复数千次)

攻击者通过快速发起和取消 HTTP/2 流,导致服务器资源耗尽: 1. 服务器为每个请求分配资源 2. 客户端立即取消请求

3.2 源码层面的根因分析(结合源码与补丁对比)

公开补丁或官方公告显示该问题已在后续版本中修复,但当前公开资料未必都提供逐函数级补丁差异。撰写时优先引用官方公告、发布说明或补丁链接;若缺少可验证源码上下文,本文不对未公开实现细节作推测。

四、漏洞复现(可选)

4.1 环境搭建

暂无公开可验证复现信息。

4.2 PoC 演示与测试过程

暂无公开可验证复现信息。

五、修复建议与缓解措施

5.1 官方版本升级建议

  • 优先升级到 1.57.0 或同等后续安全版本。
  • 优先升级到 4.1.100 或同等后续安全版本。
  • 优先升级到 9.4.53 或同等后续安全版本。
  • 优先升级到 10.0.17 或同等后续安全版本。
  • 优先升级到 11.0.17 或同等后续安全版本。
  • 优先升级到 12.0.2 或同等后续安全版本。
  • 优先升级到 2.7.5 或同等后续安全版本。
  • 优先升级到 1.20.10 或同等后续安全版本。
  • 优先升级到 1.21.3 或同等后续安全版本。
  • 优先升级到 0.17.0 或同等后续安全版本。
  • 优先升级到 13.1.5 或同等后续安全版本。
  • 优先升级到 14.1.5 或同等后续安全版本。
  • 优先升级到 15.1.10 或同等后续安全版本。
  • 优先升级到 16.1.4 或同等后续安全版本。
  • 优先升级到 1.8.2 或同等后续安全版本。
  • 优先升级到 1.25.2 或同等后续安全版本。
  • 优先升级到 2.4.2 或同等后续安全版本。
  • 优先升级到 3.3.0 或同等后续安全版本。
  • 优先升级到 r29 或同等后续安全版本。
  • 优先升级到 8.5.93 或同等后续安全版本。
  • 优先升级到 9.0.80 或同等后续安全版本。
  • 优先升级到 10.1.13 或同等后续安全版本。
  • 优先升级到 1.28.0 或同等后续安全版本。
  • 优先升级到 1.56.3 或同等后续安全版本。
  • 优先升级到 1.59.2 或同等后续安全版本。
  • 优先升级到 1.58.3 或同等后续安全版本。
  • 优先升级到 6.0.23 或同等后续安全版本。
  • 优先升级到 7.0.12 或同等后续安全版本。
  • 优先升级到 2023-10-08 或同等后续安全版本。
  • 优先升级到 17.2.20 或同等后续安全版本。
  • 优先升级到 17.4.12 或同等后续安全版本。
  • 优先升级到 17.6.8 或同等后续安全版本。
  • 优先升级到 17.7.5 或同等后续安全版本。
  • 优先升级到 10.0.14393.6351 或同等后续安全版本。
  • 优先升级到 10.0.17763.4974 或同等后续安全版本。
  • 优先升级到 10.0.19044.3570 或同等后续安全版本。
  • 优先升级到 10.0.19045.3570 或同等后续安全版本。
  • 优先升级到 10.0.22000.2538 或同等后续安全版本。
  • 优先升级到 10.0.22621.2428 或同等后续安全版本。
  • 优先升级到 18.18.2 或同等后续安全版本。
  • 优先升级到 20.8.1 或同等后续安全版本。
  • 优先升级到 2023-10-11 或同等后续安全版本。
  • 优先升级到 2023-10-10 或同等后续安全版本。
  • 优先升级到 2023.10.16.00 或同等后续安全版本。
  • 优先升级到 3.6.1 或同等后续安全版本。
  • 优先升级到 8.1.9 或同等后续安全版本。
  • 优先升级到 9.2.3 或同等后续安全版本。
  • 优先升级到 2.5.0 或同等后续安全版本。
  • 优先升级到 4.2.2 或同等后续安全版本。
  • 优先升级到 1.17.6 或同等后续安全版本。
  • 优先升级到 1.18.3 或同等后续安全版本。
  • 优先升级到 1.19.1 或同等后续安全版本。
  • 优先升级到 2.10.5 或同等后续安全版本。
  • 优先升级到 2.12.5 或同等后续安全版本。
  • 优先升级到 1.26.0 或同等后续安全版本。
  • 优先升级到 10.5.3 或同等后续安全版本。
  • 优先升级到 3.4.2 或同等后续安全版本。
  • 优先升级到 2.414.2 或同等后续安全版本。
  • 优先升级到 2.427 或同等后续安全版本。
  • 优先升级到 9.4.0 或同等后续安全版本。
  • 优先升级到 1.21.4.3 或同等后续安全版本。
  • 优先升级到 3.2.003.009 或同等后续安全版本。
  • 优先升级到 11.1 或同等后续安全版本。
  • 优先升级到 4.1.3 或同等后续安全版本。
  • 优先升级到 5.0.2 或同等后续安全版本。
  • 优先升级到 6.0.0 或同等后续安全版本。
  • 优先升级到 x14.3.3 或同等后续安全版本。
  • 优先升级到 7.4.2 或同等后续安全版本。
  • 优先升级到 4.11.0 或同等后续安全版本。
  • 优先升级到 9.3.3 或同等后续安全版本。
  • 优先升级到 7.2.1 或同等后续安全版本。
  • 优先升级到 3.10.4 或同等后续安全版本。
  • 优先升级到 11.2 或同等后续安全版本。
  • 优先升级到 2.2.0 或同等后续安全版本。
  • 优先升级到 2.19.2 或同等后续安全版本。
  • 优先升级到 2024.01.0 或同等后续安全版本。
  • 优先升级到 2024.02.0 或同等后续安全版本。
  • 优先升级到 12.6.2 或同等后续安全版本。
  • 优先升级到 1.22 或同等后续安全版本。
  • 优先升级到 17.15.1 或同等后续安全版本。
  • 优先升级到 7.11.2 或同等后续安全版本。
  • 优先升级到 15.1.0 或同等后续安全版本。
  • 优先升级到 10.2(7) 或同等后续安全版本。
  • 优先升级到 10.3(5) 或同等后续安全版本。
  • 优先升级到 10.4(2) 或同等后续安全版本。
  • 升级前请结合官方发布说明确认兼容性与回滚方案。

5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)

  • 临时关闭高风险协议特性或在网关侧启用连接、并发与速率限制。
  • 结合 WAF、负载均衡和熔断策略降低异常流量影响。

六、参考信息 / 参考链接

6.1 官方安全通告

  • https://cgit.freebsd.org/ports/commit/?id=c64c329c2c1752f46b73e3e6ce9f4329be6629f9
  • https://github.com/advisories/GHSA-vx74-f528-fxqg
  • https://github.com/advisories/GHSA-xpw8-rcwv-8f8p
  • https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487

6.2 其他技术参考资料

  • NVD:https://nvd.nist.gov/vuln/detail/CVE-2023-44487
  • CVE:https://www.cve.org/CVERecord?id=CVE-2023-44487
  • https://cgit.freebsd.org/ports/commit/?id=c64c329c2c1752f46b73e3e6ce9f4329be6629f9
  • https://github.com/advisories/GHSA-vx74-f528-fxqg
  • https://github.com/advisories/GHSA-xpw8-rcwv-8f8p
  • https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487