• Categories
  • Recent
  • Popular
Collapse

GoFAST - HTTP/2 Rapid Reset Attack (CVE-2023-44487)

Scheduled Pinned Locked Moved Sujets Techniques
1 Posts 1 Posters 81 Views
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • B Offline
    B Offline
    bcrestani
    wrote on last edited by
    #1

    Le 10 octobre 2023, une vulnérabilité relative au protocole HTTP/2 permettant une attaque par déni de service a été découverte. Cette vulnérabilité a été classée avec un score CVSS 3.x de 7.5 (HIGH). (https://nvd.nist.gov/vuln/detail/CVE-2023-44487)

    Se pose alors la question de l'impact de cette vulnérabilité sur GoFAST. Initialement, nous utilisons le protocole HTTP/2 pour les services web de la plateforme. Cependant, nous ne sommes pas affectés par cette attaque, car les valeurs des paramètres "keepalive_requests" et "http2_max_concurrent_streams" sont celles par défaut dans la configuration de notre service web. Vous pouvez consulter l'article de nginx à ce sujet ici : https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/

    Nous continuerons de surveiller cette vulnérabilité et, si nécessaire, nous ajouterons les paramètres "limit_conn" et "limit_req" lors de la prochaine version de GoFAST.

    1 Reply Last reply
    1

  • Login
  • Don't have an account? Register
  • Login or register to search.
  • First post
    Last post
0
  • Categories
  • Recent
  • Popular
  • Login
  • Don't have an account? Register
  • Login or register to search.