SwiftNIO HTTP/2 受 HTTP/2 MadeYouReset 漏洞影响解析

本文详细分析了 swift-nio-http2 库受 HTTP/2 MadeYouReset 漏洞影响的情况。该漏洞可能引发拒绝服务攻击,文章阐述了其影响范围、现有防护机制、1.38.0版本新增的纵深防御措施以及升级建议。

swift-nio-http2 受 HTTP/2 MadeYouReset 漏洞影响

漏洞详情

数据包 Swift (github.com/apple/swift-nio-http2)

受影响版本 < 1.38.0

已修复版本 1.38.0

描述

HTTP/2 MadeYouReset 漏洞对 swift-nio-http2 有轻微影响。 swift-nio-http2 主要通过一些现有的拒绝服务(DoS)防护模式来抵御 MadeYouReset 攻击,这些模式是我们此前为应对 RapidReset 漏洞而添加的。结果是,服务器不会受到基于 MadeYouReset 的简单攻击的影响,并且简单的概念验证(PoC)示例对 swift-nio-http2 无效。

然而,在 1.38.0 版本中,我们作为预防措施添加了一些纵深防御措施,用于检测行为“异常”的客户端。这些纵深防御措施旨在应对资源耗尽攻击,在这种攻击中,攻击者会将攻击流量与合法流量交织在一起,试图规避我们现有的 DoS 防护机制。

我们建议所有使用者尽快升级到 1.38.0 版本,以缓解未来可能出现更复杂的攻击。

我们非常感谢 @galbarnahum、@AnatBB 和 @YanivRL 的报告以及在我们处理过程中提供的帮助。

参考 GHSA-xvr7-p2c6-j83w

安全评级 中等

CVSS 总分 6.3 / 10

CVSS v4 基础指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 攻击前提 (AT): 存在 (P)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 无 (N)
  • 受影响系统影响:
    • 机密性 (VC): 无 (N)
    • 完整性 (VI): 无 (N)
    • 可用性 (VA): 低 (L)
  • 后续系统影响:
    • 机密性 (SC): 无 (N)
    • 完整性 (SI): 无 (N)
    • 可用性 (SA): 无 (N)

弱点 CWE-405: 非对称资源消耗(放大) 该产品未能适当控制攻击者可以使产品消耗或产生过多资源的情况,而无需攻击者投入等效的工作或以其他方式证明其授权,即攻击者的影响是不对称的。

CVE ID 暂无已知 CVE

GHSA ID GHSA-xvr7-p2c6-j83w

源代码 apple/swift-nio-http2

致谢

  • galbarnahum (报告者)
  • AnatBB (报告者)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次