craigmj Asked: 2023-10-11 23:18:21 +0800 CST2023-10-11 23:18:21 +0800 CST 2023-10-11 23:18:21 +0800 CST 带有 mod_http2 的 Apache 是否容易受到 Http/2 快速重置 CVE-2023-44487 的影响 772 我在 apache 网站上找不到任何有关此内容的信息,因此我禁用了 http/2 作为预防措施。有关如何保护 Apache2 免受此影响的任何信息吗? apache2 1 个回答 Voted Best Answer philipenix 2023-10-12T09:00:18+08:002023-10-12T09:00:18+08:00 在github上发现了这个, CVE-2023-44487 HTTP/2“快速重置”{#CVE-2023-44487} Apache HTTP Server 不受 CVE-2023-44487中描述的问题的影响:我们为限制客户端过度负载而采取的长期措施在这种情况下是有效的。所描述的攻击将导致 Apache HTTP Server 进程占用额外的 CPU,但不会影响任何后端。 作为额外的缓解措施,如果将libnghttp2 依赖项升级mod_http2到至少版本 1.57.0, 这将完全消除快速重置漏洞的影响。 https://github.com/apache/httpd-site/pull/10/files/0ed0b409383b2ab17c8c04a59b6365c3a27a4920 如果您有实时流量监控,您可以监控 rst_stream 数据包的异常活动。看起来这是 cloudflare 执行的缓解措施之一https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/。同样,引用自https://www.theregister.com/2023/10/10/http2_rapid_reset_zeroday/,“为了减轻此攻击的非取消变体,我们建议 HTTP/2 服务器应关闭超过并发数的连接流量限制。这可以立即进行,也可以在少量重复违规后进行。” 如果尚未设置限制,调整 H2MaxSessionStreams 可以帮助 apache 限制单个连接内的请求数量和内存使用量。
在github上发现了这个,
CVE-2023-44487 HTTP/2“快速重置”{#CVE-2023-44487}
Apache HTTP Server 不受 CVE-2023-44487中描述的问题的影响:我们为限制客户端过度负载而采取的长期措施在这种情况下是有效的。所描述的攻击将导致 Apache HTTP Server 进程占用额外的 CPU,但不会影响任何后端。
作为额外的缓解措施,如果将libnghttp2 依赖项升级
mod_http2到至少版本 1.57.0, 这将完全消除快速重置漏洞的影响。https://github.com/apache/httpd-site/pull/10/files/0ed0b409383b2ab17c8c04a59b6365c3a27a4920
如果您有实时流量监控,您可以监控 rst_stream 数据包的异常活动。看起来这是 cloudflare 执行的缓解措施之一https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/。同样,引用自https://www.theregister.com/2023/10/10/http2_rapid_reset_zeroday/,“为了减轻此攻击的非取消变体,我们建议 HTTP/2 服务器应关闭超过并发数的连接流量限制。这可以立即进行,也可以在少量重复违规后进行。” 如果尚未设置限制,调整 H2MaxSessionStreams 可以帮助 apache 限制单个连接内的请求数量和内存使用量。