HTTP/2 y otros - Vulnerabilidades
VSA24-00995Desde la Agencia Nacional de Ciberseguridad (ANCI) informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.
En esta oportunidad se trata de vulnerabilidades que afectan al protocolo HTTP/2.
La explotación exitosa de estas vulnerabilidades puede permitir a un atacante lanzar ataques de denegación de servicio (DoS) contra servidores que usen implementaciones vulnerables.
De acuerdo con CERT/CC, "un atacante que pueda mandar paquetes a un servidor objetivo puede enviar una secuencia de marcos CONTINUATION que no será agregada a las listas de encabezado en la memoria, pero que aun así será procesada y decodificada por el servidor, o que será agregada a la lista de encabezado, causando un colapso de tipo out of memory (OOM)".
La falla afecta a varios proyectos de software, como los que se mencionan a continuación:
Vulnerabilidades
ID | CVSS | EPSS |
---|---|---|
CVE-2024-27983 | 0.0450% | |
CVE-2024-27919 | 0.0450% | |
CVE-2024-2758 | 0.0450% | |
CVE-2024-2653 | 0.0450% | |
CVE-2023-45288 | 0.0440% | |
CVE-2024-28182 | 0.0440% | |
CVE-2024-27316 | 0.1240% | |
CVE-2024-31309 | 0.0450% | |
CVE-2024-30255 | 0.0450% | |
CVE-2024-24549 | 0.0450% |
Versiones Afectadas
Producto | Versiones |
---|---|
HTTP/2 |
|
Apache Tomcat |
|
Apache Traffic Server |
|
Envoy proxy |
|
Golang |
|
h2 Rust crate |
|
nghttp2 |
|
Node.js |
|
Tempesta FW |
|
Mitigación
Apache Tomcat: actualizar a las versiones 11.0.0-M17, 10.1.19, 9.0.86 o 8.5.99, que resuelven el problema.