漏洞详情

包: swift (github.com/apple/swift-nio-http2) 受影响版本: < 1.38.0 已修复版本: 1.38.0 严重等级: 中等 (CVSS 评分: 6.3)

描述

HTTP/2 MadeYouReset 漏洞对 swift-nio-http2 产生了轻微影响。

swift-nio-http2 主要通过一系列为应对 RapidReset 漏洞而添加的现有拒绝服务（DoS）防护模式，在很大程度上防范了 MadeYouReset 漏洞。其结果是，服务器不易受到基于 MadeYouReset 的简单攻击，并且简单的概念验证（PoC）示例对 swift-nio-http2 无效。

然而，在 1.38.0 版本中，我们作为预防措施添加了一些深度防御措施，用于检测客户端“异常”行为。这些深度防御措施旨在应对攻击者将攻击流量与合法流量交织在一起，以试图规避我们现有 DoS 防护机制的资源耗尽攻击。

我们建议所有采用者尽快升级到 1.38.0 版本，以防范未来可能出现的更复杂攻击。

我们非常感谢 @galbarnahum、@AnatBB 和 @YanivRL 的报告以及对处理过程的协助。

参考

• GHSA-xvr7-p2c6-j83w

CVSS v4 基础指标

可利用性指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击前提: 存在
• 所需权限: 无
• 用户交互: 无

受影响系统影响指标:

• 机密性: 无影响
• 完整性: 无影响
• 可用性: 低

后续系统影响指标:

• 机密性: 无影响
• 完整性: 无影响
• 可用性: 无影响

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

弱点

弱点: CWE-405 - 不对称资源消耗（放大） 描述：当攻击者能够使产品消耗或产生过多资源，而无需投入等效的工作或证明授权时（即攻击者的影响是不对称的），产品未能适当控制此类情况。

标识符

• GHSA ID: GHSA-xvr7-p2c6-j83w
• CVE ID: 暂无已知 CVE

源代码与致谢

• 源代码仓库: apple/swift-nio-http2
• 报告者: galbarnahum, AnatBB