PT-2024-2589 · Apache · Apache Traffic Server
Bartek Nowotarski
·
Publicado
2024-01-05
·
Atualizado
2025-06-03
·
CVE-2024-31309
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Apache Traffic Server, versões 8.0.0 a 8.1.9
Apache Traffic Server, versões 9.0.0 a 9.2.3
Descrição
O ataque DoS HTTP/2 CONTINUATION pode fazer com que o Apache Traffic Server consuma mais recursos no servidor. Esse problema está relacionado à determinação incorreta do fim de um cabeçalho ao processar quadros CONTINUATION, o que pode levar a um consumo descontrolado de recursos. Um invasor remoto pode explorar essa vulnerabilidade enviando vários pacotes HTTP, causando potencialmente uma negação de serviço.
Recomendações
Para as versões 8.0.0 a 8.1.9, atualize para a versão 8.1.10.
Para as versões 9.0.0 a 9.2.3, atualize para a versão 9.2.4.
Como solução alternativa temporária, considere definir uma nova configuração
proxy.config.http2.max continuation frames per minute para limitar o número de quadros CONTINUATION por minuto.Correção
DoS
Resource Exhaustion
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Traffic Server