一、漏洞信息
漏洞编号:CVE-2023-45802
漏洞组件:apache2
CVSS 3.1:5.9
Vector:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
参考等级:中危
漏洞描述:
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。
Apache HTTP Server mod_http2 存在资源管理错误漏洞,该漏洞源于当客户端重置 HTTP/2 流(RST 帧)时,存在一个时间窗口,请求的内存资源不会立即回收。相反,释放被推迟到连接关闭。客户端可以发送新请求并重置,使连接保持繁忙和打开状态,从而导致内存占用持续增长。连接关闭时,所有资源都会被回收,但进程可能会在连接关闭之前耗尽内存。
二、修复参考
漏洞补丁:
https://github.com/apache/httpd/commit/decce82a706abd78dfc32821a03ad93841d7758a
https://github.com/apache/httpd/commit/3c6caeb2dc865bd08bf53a06844efe2f8c8c70bb
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45802
https://www.openwall.com/lists/oss-security/2023/10/19/6
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2023-45802
https://github.com/icing/blog/blob/main/h2-rapid-reset.md#cve-2023-45802
三、影响性分析
是否受影响:请负责人补充
分析说明:请负责人补充