Уязвимост CVE-2023-44487 – HTTP/2 Rapid Reset

Разкрита е уязвимост в HTTP/2 протокола при отказ на услуга (DoS). Уязвимостта (CVE-2023-44487) е известна като Rapid Reset.

Експлоатация върху уеб сървъри с HTTP/2 води до Layer 7 DoS – denial of service (server resource consumption) атака. Тя се изразява в следното: Генерират се заявки, които биват едностранно спрени от клиента, дори преди да е получен отговор от уеб сървъра, чрез изпращане на RST_STREAM frame. За всяка заявка може да се изпратят неограничен брой заявки за прекратяване, които се  обработват от уеб сървъра и води до претоварване и изчерпване на ресурсите му.

CERT България препоръчва потребителите и администраторите да се запознаят със следните съвети и да приложат необходимите актуализации.