El listado completo de projectos afectados se puede consultar en el apartado Affected projects del artĂculo del investigador.
El investigador, Barket Nowotarski, ha reportado mĂșltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotaciĂłn de estas vulnerabilides podrĂa permitir a un atacante ejecutar una denegaciĂłn de servicio (DoS), bloqueando servidores web con una Ășnica conexiĂłn TCP en algunas implementaciones.
Actualizar el software afectado a la Ășltima versiĂłn que contenga la correcciĂłn para cada vulnerabilidad. Si no hay ninguna soluciĂłn disponible, se recomienda desactivar temporalmente HTTP/2 en el servidor.
- CVE-2024-27983: afecta al servidor HTTP/2 de Node.js. El envĂo de unas pocas tramas HTTP/2 podrĂa causar una fuga de memoria debido a una condiciĂłn de carrera, lo que lleva a un potencial ataque DoS.
- CVE-2024-27919: afecta al cĂłdec oghttp de Envoy. Consumo de memoria ilimitado debido a que no se restablece una solicitud cuando se superan los lĂmites del mapa de encabezados.
- CVE-2024-2758: relacionado con Tempesta FW. Sus lĂmites de velocidad no estĂĄn impidiendo eficazmente los ataques de marcos vacĂos de CONTINUATION, permitiendo potenciales ataques DoS.
- CVE-2024-2653: afecta a amphp/http. Recoge tramas CONTINUATION en un bĂșfer no limitado, arriesgando a un fallo en OOM si se excede el lĂmite de tamaño de cabecera.
- CVE-2023-45288: afecta a los paquetes net/http y net/http2 de Go. PodrĂa permitir a un atacante enviar un conjunto arbitrariamente grande de cabeceras, causando un consumo excesivo de CPU.
- CVE-2024-28182: involucra una implementaciĂłn usando la librerĂa nghttp2, que continĂșa recibiendo tramas CONTINUATION, llevando a un ataque DoS sin un callback de reinicio de flujo apropiado.
- CVE-2024-27316: afecta a Apache Httpd. Se podrĂa enviar un flujo continuo de tramas CONTINUATION sin el indicador END_HEADERS establecido, lo que podrĂa causar una terminaciĂłn incorrecta de las solicitudes.
- CVE-2024-31309: afecta al servidor de trĂĄfico Apache. El ataque DoS CONTINUATION podrĂa causar un consumo excesivo de recursos en el servidor.
- CVE-2024-30255: afecta a las versiones de Envoy 1.29.2 o anteriores. Vulnerable al agotamiento de la CPU debido a una avalancha de tramas CONTINUATION, consumiendo importantes recursos del servidor.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.