Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-39325

Опубликовано: 11 окт. 2023
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Уязвимость чрезмерного потребления ресурсов сервера из-за быстрого создания и сброса HTTP/2-запросов

Описание

Злоумышленник, использующий HTTP/2-клиент для быстрого создания запросов и их немедленного сброса, может вызвать чрезмерное потребление ресурсов сервера. Хотя общее количество запросов ограничено настройкой http2.Server.MaxConcurrentStreams, сброс выполняющегося запроса позволяет злоумышленнику создать новый запрос, пока существующий всё ещё выполняется.

После применения исправления HTTP/2-серверы теперь ограничивают количество одновременно выполняющихся обработчиков (goroutines) пределом параллельности потоков (MaxConcurrentStreams). Новые запросы, поступающие при достижении лимита (что возможно только после сброса клиентом существующего выполняющегося запроса), будут поставлены в очередь до завершения одного из обработчиков. Если очередь запросов становится слишком большой, сервер разрывает соединение.

Эта проблема также исправлена в пакете golang.org/x/net/http2 для пользователей, которые вручную настраивают HTTP/2. Значение лимита параллельности потоков по умолчанию составляет 250 потоков (запросов) на одно HTTP/2-соединение. Это значение можно изменить с помощью пакета golang.org/x/net/http2.

Тип уязвимости

DoS атака

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.20.0 (включая) до 1.20.10 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.21.0 (включая) до 1.21.3 (исключая)
cpe:2.3:a:golang:http2:*:*:*:*:*:go:*:*
Версия до 0.17.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:netapp:astra_trident:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:astra_trident_autosupport:-:*:*:*:*:*:*:*

EPSS

Процентиль: 37%
0.0015
Низкий

7.5 High

CVSS3

Дефекты

CWE-770

Связанные уязвимости

ubuntu логотип

CVE-2023-39325

CVSS3: 7.5
ubuntu
больше 1 года назад

A malicious HTTP/2 client which rapidly creates requests and immediately resets them can cause excessive server resource consumption. While the total number of requests is bounded by the http2.Server.MaxConcurrentStreams setting, resetting an in-progress request allows the attacker to create a new request while the existing one is still executing. With the fix applied, HTTP/2 servers now bound the number of simultaneously executing handler goroutines to the stream concurrency limit (MaxConcurrentStreams). New requests arriving when at the limit (which can only happen after the client has reset an existing, in-flight request) will be queued until a handler exits. If the request queue grows too large, the server will terminate the connection. This issue is also fixed in golang.org/x/net/http2 for users manually configuring HTTP/2. The default stream concurrency limit is 250 streams (requests) per HTTP/2 connection. This value may be adjusted using the golang.org/x/net/http2 package; s...

redhat логотип

CVE-2023-39325

CVSS3: 7.5
redhat
больше 1 года назад

A malicious HTTP/2 client which rapidly creates requests and immediately resets them can cause excessive server resource consumption. While the total number of requests is bounded by the http2.Server.MaxConcurrentStreams setting, resetting an in-progress request allows the attacker to create a new request while the existing one is still executing. With the fix applied, HTTP/2 servers now bound the number of simultaneously executing handler goroutines to the stream concurrency limit (MaxConcurrentStreams). New requests arriving when at the limit (which can only happen after the client has reset an existing, in-flight request) will be queued until a handler exits. If the request queue grows too large, the server will terminate the connection. This issue is also fixed in golang.org/x/net/http2 for users manually configuring HTTP/2. The default stream concurrency limit is 250 streams (requests) per HTTP/2 connection. This value may be adjusted using the golang.org/x/net/http2 package; s...

msrc логотип

CVE-2023-39325

CVSS3: 7.5
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2023-39325

CVSS3: 7.5
debian
больше 1 года назад

A malicious HTTP/2 client which rapidly creates requests and immediate ...

github логотип

GHSA-4374-p667-p6c8

CVSS3: 7.5
github
больше 1 года назад

HTTP/2 rapid reset can cause excessive work in net/http

EPSS

Процентиль: 37%
0.0015
Низкий

7.5 High

CVSS3

Дефекты

CWE-770