O Apache com mod_http2 é vulnerável ao Http/2 Rapid Reset CVE-2023-44487
772
Não consigo encontrar nada sobre isso no site Apache, então desativei o http/2 por precaução. Alguma informação sobre como proteger o Apache2 contra isso?
O servidor HTTP Apache não é afetado pelo problema descrito em
CVE-2023-44487 : as medidas de longa data que implementamos para limitar a carga excessiva dos clientes são eficazes neste cenário. O ataque descrito causará uso extra de CPU no processo do servidor Apache HTTP, mas não afetará nenhum back-end.
Como uma mitigação extra, se você atualizar a
dependência libnghttp2mod_http2 para pelo menos a versão 1.57.0,
isso removerá completamente o impacto das explorações do Rapid Reset.
Se você tiver monitoramento de tráfego em tempo real, poderá monitorar atividades incomuns de pacotes rst_stream. Parece que essa é uma das mitigações que o cloudflare realizou https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/ . Da mesma forma, citado em https://www.theregister.com/2023/10/10/http2_rapid_reset_zeroday/ , "Para mitigar a variante sem cancelamento deste ataque, recomendamos que os servidores HTTP/2 fechem conexões que excedam o concorrente limite de fluxo. Isso pode ser imediatamente ou após um pequeno número de reincidências." Ajustar H2MaxSessionStreams pode ajudar no que diz respeito ao Apache para limitar o número de solicitações e o uso de memória em uma única conexão, se o limite ainda não estiver definido.
Encontrei isso no github,
CVE-2023-44487 HTTP/2 'Reinicialização rápida' {#CVE-2023-44487}
O servidor HTTP Apache não é afetado pelo problema descrito em CVE-2023-44487 : as medidas de longa data que implementamos para limitar a carga excessiva dos clientes são eficazes neste cenário. O ataque descrito causará uso extra de CPU no processo do servidor Apache HTTP, mas não afetará nenhum back-end.
Como uma mitigação extra, se você atualizar a dependência libnghttp2
mod_http2para pelo menos a versão 1.57.0, isso removerá completamente o impacto das explorações do Rapid Reset.https://github.com/apache/httpd-site/pull/10/files/0ed0b409383b2ab17c8c04a59b6365c3a27a4920
Se você tiver monitoramento de tráfego em tempo real, poderá monitorar atividades incomuns de pacotes rst_stream. Parece que essa é uma das mitigações que o cloudflare realizou https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/ . Da mesma forma, citado em https://www.theregister.com/2023/10/10/http2_rapid_reset_zeroday/ , "Para mitigar a variante sem cancelamento deste ataque, recomendamos que os servidores HTTP/2 fechem conexões que excedam o concorrente limite de fluxo. Isso pode ser imediatamente ou após um pequeno número de reincidências." Ajustar H2MaxSessionStreams pode ajudar no que diz respeito ao Apache para limitar o número de solicitações e o uso de memória em uma única conexão, se o limite ainda não estiver definido.