ГлавнаяБаза уязвимостей БДУ → BDU:2024-02654
8.5высокая

BDU:2024-02654 (CVE-2024-2653)

Уязвимость библиотеки amphp/http и HTTP-клиента amphp/http-client, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-06
Описание

Уязвимость библиотеки amphp/http и HTTP-клиента amphp/http-client (в части реализации протокола HTTP/2) связана с неконтролируемым распределением памяти в результате некорректного ограничения на размер блока полей при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки HTTP-пакетов

Затрагиваемое ПО и версии
amphp/http (до 1.7.2 включительно)amphp/http (от 2.0.0 до 2.1.1)amphp/http-client (от 4.0.0-rc10 до 4.1.0-rc1)
Способ устранения

Использование рекомендаций:
Для amphp/http:
https://github.com/amphp/http/security/advisories/GHSA-qjfw-cvjf-f4fm
https://github.com/amphp/http/releases/tag/v1.7.3
https://github.com/amphp/http/releases/tag/v2.1.1

Для amphp/http-client:
https://github.com/amphp/http-client/security/advisories/GHSA-w8gf-g2vq-j2f4
https://github.com/amphp/http-client/releases/tag/v4.1.0-rc1

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://blog.segu-info.com.ar/2024/04/ataque-dos-traves-de-vulnerabilidad-en.htmlhttps://github.com/amphp/http-client/security/advisories/GHSA-w8gf-g2vq-j2f4https://github.com/amphp/http/security/advisories/GHSA-qjfw-cvjf-f4fmhttps://bugzilla.redhat.com/show_bug.cgi?id=2269175https://access.redhat.com/security/cve/CVE-2024-2653https://kb.cert.org/vuls/id/421644https://nowotarski.info/http2-continuation-flood/https://github.com/amphp/http-client/security/advisories/GHSA-w8gf-g2vq-j2f4
Проверьте безопасность своего сайта и почты → Полная проверка домена