#Apache #Dos #Http2
Se ha identificado una vulnerabilidad crítica en la implementación del protocolo HTTP/2 por varios proyectos de servidores web, que podría ser explotada para causar una denegación de servicio (DoS) mediante el crasheo de los sistemas afectados. Esta vulnerabilidad se debe a que algunas implementaciones no limitan la cantidad de tramas CONTINUATION que pueden ser enviadas en un mismo flujo de datos dentro de HTTP/2. Los atacantes pueden aprovechar esta debilidad para enviar una secuencia de tramas CONTINUATION sin establecer el flag END_HEADERS, lo que podría resultar en un bloqueo del servidor por agotamiento de memoria o por el consumo excesivo de recursos de CPU al procesar tramas codificadas con HPACK Huffman. Entre los productos afectados se encuentran amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, la biblioteca h2 Rust crate, nghttp2, Node.js, y Tempesta FW.
Os dejamos a continuación los CVES detallados:
amphp/http (CVE-2024-2653)
Apache HTTP Server (CVE-2024-27316)
Apache Tomcat (CVE-2024-24549)
Apache Traffic Server (CVE-2024-31309)
Envoy proxy (CVE-2024-27919 y CVE-2024-30255)
Golang (CVE-2023-45288)
h2 Rust crate, nghttp2 (CVE-2024-28182)
Node. js (CVE-2024-27983)
Tempesta FW (CVE-2024-2758)
Se aconseja actualizar los productos afectados a la última versión disponible o, en caso de no disponer de una actualización, considerar la desactivación temporal de HTTP/2 en el servidor.
Fuentes:https://kb.cert.org/vuls/id/421644
https://thehackernews.com/2024/04/new-http2-vulnerability-exposes-web.html
