CVE-2023-44487

HTTP/2

Hersteller: IETF

7,5 HIGH CVSS Basis-Score

Beschreibung

Die Schwachstelle liegt im HTTP/2-Protokoll selbst, das von zahllosen Webservern und Diensten zur Auslieferung von Inhalten genutzt wird. Sie nutzt einen regulären Mechanismus des Protokolls aus: Ein Client darf eine soeben gestartete Anfrage sofort wieder abbrechen. Ein Angreifer kann genau dieses Abbrechen missbrauchen, indem er in sehr kurzer Zeit eine große Zahl von Anfragen (Streams) öffnet und unmittelbar wieder zurücksetzt. Für den Server bedeutet jede dieser Anfragen Aufwand, während das schnelle Zurücksetzen die übliche Begrenzung gleichzeitiger Streams umgeht. In der Folge wird der Server mit Arbeit überlastet und verbraucht seine Ressourcen, bis er legitime Anfragen nicht mehr bedienen kann – ein Denial of Service. Da sich der Angriff über viele verteilte Quellen führen lässt, entsteht daraus eine besonders wirksame verteilte Überlastung (DDoS). Betroffen ist praktisch jede Software, die HTTP/2 unterstützt.

Empfohlene Maßnahmen

Setzen Sie die vom Hersteller bereitgestellten Gegenmaßnahmen um. Steht für das eingesetzte Produkt keine Abhilfe zur Verfügung, sollte dessen Nutzung eingestellt werden.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln

Artikel Bisher keine Artikel.

Kennzahlen

Schweregrad HIGH · CVSS 7,5

Betroffen bis < 0.17.0, 1.0, bis < 1.0, bis < 1.1, 1.5, 1.5.0 bis 1.8.2, 1.9.5 bis 1.25.2, bis < 1.17.6, 1.18.0 bis < 1.18.3, 1.19.0 bis < 1.19.1, bis < 1.20.10, 1.21.0 bis < 1.21.3, bis < 1.21.4.3, bis < 1.22, 1.24.10, 1.25.9, bis < 1.26.0, 1.26.4, 1.27.0, bis < 1.28.0, bis < 1.56.3, 1.57.0, bis < 1.57.0, 1.58.0 bis < 1.58.3, bis 1.59.2, 2.0, 2.0.0 bis 2.4.2, bis < 2.2.0, bis < 2.5.0, bis < 2.7.5, bis < 2.10.5, 2.12.0 bis 2.12.5, 2.13.0, 2.13.1, 2.14.0, 2.14.1, bis < 2.19.2, bis 2.414.2, bis 2.427, 3.0, bis < 3.0, 3.0.0, 3.0.0 bis 3.3.0, ab 3.1.5, bis < 3.2.003.009, bis < 3.4.2, bis < 3.6.1, bis < 3.10.4, 4, 4.0, bis < 4.1.3, bis < 4.1.100, bis < 4.2.2, bis < 4.11.0, 5.0, 5.0.0 bis < 5.0.2, 6.0, 6.0.0, 6.0.0 bis < 6.0.23, bis < 6.0.0, 7, 7.0, 7.0.0, 7.0.0 bis < 7.0.12, bis < 7.2.1, bis < 7.4.2, bis < 7.11.2, 8.0, 8.0.0 bis < 8.1.9, 8.5.0 bis 8.5.93, 9.0, 9.0.0 bis 9.0.80, 9.0.0 bis < 9.2.3, bis < 9.3.3, bis < 9.4.0, bis < 9.4.53, 10.0, 10.0.0 bis < 10.0.17, bis < 10.0.14393.6351, bis < 10.0.17763.4974, bis < 10.0.19044.3570, bis < 10.0.19045.3570, bis < 10.0.22000.2538, bis < 10.0.22621.2428, 10.1.0 bis 10.1.13, bis < 10.2\(7\), 10.3\(1\) bis < 10.3\(5\), 10.4\(1\) bis < 10.4\(2\), bis < 10.5.3, 11.0, 11.0.0, 11.0.0 bis < 11.0.17, bis < 11.1, bis < 11.2, 12.0, 12.0.0 bis < 12.0.2, bis < 12.6.2, 13.1.0 bis 13.1.5, 14.1.0 bis 14.1.5, bis < x14.3.3, 15.1.0 bis 15.1.10, bis < 15.1.0, 16.1, 16.1.0 bis 16.1.4, 16.2, 17.0 bis < 17.2.20, 17.1, 17.1.0, 17.4 bis < 17.4.12, 17.6 bis < 17.6.8, 17.7 bis < 17.7.5, bis < 17.15.1, 18.0.0 bis < 18.18.2, 20.0.0 bis < 20.8.1, 20.0.1, r25 bis < r29, r29, r30, 37, 38, bis < 2023-10-08, bis < 2023-10-10, bis < 2023-10-11, bis < 2023.10.16.00, 2024.01.0, bis < 2024.01.0, bis < 2024.02.0

Behoben in 0.17.0, 1.0, 1.1, 1.17.6, 1.18.3, 1.19.1, 1.20.10, 1.21.3, 1.21.4.3, 1.22, 1.26.0, 1.28.0, 1.56.3, 1.57.0, 1.58.3, 2.2.0, 2.5.0, 2.7.5, 2.10.5, 2.19.2, 3.0, 3.2.003.009, 3.4.2, 3.6.1, 3.10.4, 4.1.3, 4.1.100, 4.2.2, 4.11.0, 5.0.2, 6.0.0, 6.0.23, 7.0.12, 7.2.1, 7.4.2, 7.11.2, 8.1.9, 9.2.3, 9.3.3, 9.4.0, 9.4.53, 10.0.17, 10.0.14393.6351, 10.0.17763.4974, 10.0.19044.3570, 10.0.19045.3570, 10.0.22000.2538, 10.0.22621.2428, 10.2\(7\), 10.3\(5\), 10.4\(2\), 10.5.3, 11.0.17, 11.1, 11.2, 12.0.2, 12.6.2, x14.3.3, 15.1.0, 17.2.20, 17.4.12, 17.6.8, 17.7.5, 17.15.1, 18.18.2, 20.8.1, r29, 2023-10-08, 2023-10-10, 2023-10-11, 2023.10.16.00, 2024.01.0, 2024.02.0

Schwachstellentyp CWE-400

CISA-Katalog 2023-10-10

Patch-Frist 2023-10-31

Veröffentlicht 10.10.2023

Quelle: NVD / CISA KEV. Automatisch übersetzt.