Vulnerabilidad en HTTP/2 (CVE-2023-45802)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-404
Apagado o liberación incorrecto de recursos
Fecha de publicación:
23/10/2023
Última modificación:
15/10/2024
Descripción
Cuando un cliente restablecía una secuencia HTTP/2 (trama RST), había una ventana de tiempo en la que los recursos de memoria de la solicitud no se recuperaban inmediatamente. En cambio, la desasignación se aplazó hasta el cierre de la conexión. Un cliente podría enviar nuevas solicitudes y reinicios, manteniendo la conexión ocupada y abierta y provocando que la huella de memoria siga creciendo. Al cerrar la conexión, se recuperaron todos los recursos, pero el proceso podría quedarse sin memoria antes de eso. El periodista descubrió esto durante la prueba de CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) con su propio cliente de prueba. Durante el uso "normal" de HTTP/2, la probabilidad de encontrar este error es muy baja. La memoria guardada no se notará antes de que la conexión se cierre o se agote el tiempo de espera. Se recomienda a los usuarios actualizar a la versión 2.4.58, que soluciona el problema.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.4.17 (incluyendo) | 2.4.58 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página