Node.js HTTP/2 CONTINUATION 拒绝服务漏洞(CVE-2024-27983)
Node.js HTTP/2 CONTINUATION 拒绝服务漏洞(CVE-2024-27983) 是由于Node.js在处理HTTP/2协议中的连续帧时存在一个错误,攻击者可以通过构造特定的HTTP/2请求,使服务器无法正确处理这些请求,导致拒绝服务。
解决方法:
升级Node.js到安全版本:
- 如果你使用的Node.js版本低于或等于v16.15.1、v17.10.1或v18.10.1,那么需要将Node.js升级到这些版本之后的一个修补版本。
- 如果你使用的Node.js版本是v16.16.0、v17.11.0或v18.11.0,则不会受此漏洞影响,无需采取任何行动。
临时修补措施:
如果不能立即升级,可以采取以下措施暂时防御此类攻击:
- 对于使用
http2模块的应用,可以在服务器端设置SETTINGS_MAX_HEADER_LIST_SIZE的值来限制请求头的大小。 - 使用第三方的Node.js HTTP/2库,如
http2-safe,它提供了一些安全特性。
- 对于使用
请注意,在实施任何修补措施之前,应该与组织的安全团队沟通,确保所采取的措施不会影响到正常的服务需求。
评论已关闭