HTTP/2 y otros - Vulnerabilidades
VSA24-00995En el CSIRT de Gobierno informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.
En esta oportunidad se trata de vulnerabilidades que afectan al protocolo HTTP/2.
La explotación exitosa de estas vulnerabilidades puede permitir a un atacante lanzar ataques de denegación de servicio (DoS) contra servidores que usen implementaciones vulnerables.
De acuerdo con CERT/CC, "un atacante que pueda mandar paquetes a un servidor objetivo puede enviar una secuencia de marcos CONTINUATION que no será agregada a las listas de encabezado en la memoria, pero que aun así será procesada y decodificada por el servidor, o que será agregada a la lista de encabezado, causando un colapso de tipo out of memory (OOM)".
La falla afecta a varios proyectos de software, como los que se mencionan a continuación:
Vulnerabilidades
| ID | CVSS | EPSS |
|---|---|---|
| CVE-2024-27983 | ||
| CVE-2024-27919 | ||
| CVE-2024-2758 | ||
| CVE-2024-2653 | ||
| CVE-2023-45288 | ||
| CVE-2024-28182 | ||
| CVE-2024-27316 | ||
| CVE-2024-31309 | ||
| CVE-2024-30255 | ||
| CVE-2024-24549 |
Versiones Afectadas
| Producto | Versiones |
|---|---|
| HTTP/2 |
|
| Apache Tomcat |
|
| Apache Traffic Server |
|
| Envoy proxy |
|
| Golang |
|
| h2 Rust crate |
|
| nghttp2 |
|
| Node.js |
|
| Tempesta FW |
|
Mitigación
Apache Tomcat: actualizar a las versiones 11.0.0-M17, 10.1.19, 9.0.86 o 8.5.99, que resuelven el problema.