Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en HTTP/2 CONTINUATION Flood

Fecha de publicación 05/04/2024
Identificador
INCIBE-2024-0169
Importancia
4 - Alta
Recursos Afectados

El listado completo de projectos afectados se puede consultar en el apartado Affected projects del artículo del investigador.

Descripción

El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.

Solución

Actualizar el software afectado a la última versión que contenga la corrección para cada vulnerabilidad. Si no hay ninguna solución disponible, se recomienda desactivar temporalmente HTTP/2 en el servidor.

Detalle
  • CVE-2024-27983: afecta al servidor HTTP/2 de Node.js. El envío de unas pocas tramas HTTP/2 podría causar una fuga de memoria debido a una condición de carrera, lo que lleva a un potencial ataque DoS.
  • CVE-2024-27919: afecta al códec oghttp de Envoy. Consumo de memoria ilimitado debido a que no se restablece una solicitud cuando se superan los límites del mapa de encabezados.
  • CVE-2024-2758: relacionado con Tempesta FW. Sus límites de velocidad no están impidiendo eficazmente los ataques de marcos vacíos de CONTINUATION, permitiendo potenciales ataques DoS.
  • CVE-2024-2653: afecta a amphp/http. Recoge tramas CONTINUATION en un búfer no limitado, arriesgando a un fallo en OOM si se excede el límite de tamaño de cabecera.
  • CVE-2023-45288: afecta a los paquetes net/http y net/http2 de Go. Podría permitir a un atacante enviar un conjunto arbitrariamente grande de cabeceras, causando un consumo excesivo de CPU.
  • CVE-2024-28182: involucra una implementación usando la librería nghttp2, que continúa recibiendo tramas CONTINUATION, llevando a un ataque DoS sin un callback de reinicio de flujo apropiado.
  • CVE-2024-27316: afecta a Apache Httpd. Se podría enviar un flujo continuo de tramas CONTINUATION sin el indicador END_HEADERS establecido, lo que podría causar una terminación incorrecta de las solicitudes.
  • CVE-2024-31309: afecta al servidor de tráfico Apache. El ataque DoS CONTINUATION podría causar un consumo excesivo de recursos en el servidor.
  • CVE-2024-30255: afecta a las versiones de Envoy 1.29.2 o anteriores. Vulnerable al agotamiento de la CPU debido a una avalancha de tramas CONTINUATION, consumiendo importantes recursos del servidor.