← volver
CVE-2024-30255

HTTP/2: CPU exhaustion due to CONTINUATION frame flood

CVSS 5.3 MEDIUMEPSS 87.8%CWE-390
En resumen

El proxy Envoy es vulnerable a un ataque que inunda el servidor con frames CONTINUATION del HTTP/2, causando un uso excesivo de CPU e indisponibilidad del servicio. Esto ocurre porque Envoy no limita adecuadamente estos frames incluso después de exceder sus límites de tamaño de encabezado.

Detalle técnico

El codec HTTP/2 en Envoy anterior a las versiones 1.29.3, 1.28.2, 1.27.4 y 1.26.8 no aplica límites a los frames CONTINUATION sin el bit END_HEADERS, permitiendo que atacantes remotos no autenticados envíen frames ilimitados que consumen aproximadamente 1 núcleo de CPU por 300Mbit/s de tráfico malicioso. El vector de ataque es de red y no requiere autenticación, resultando en agotamiento de CPU y denegación de servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.
Envoy is a cloud-native, open source edge and service proxy. The HTTP/2 protocol stack in Envoy versions prior to 1.29.3, 1.28.2, 1.27.4, and 1.26.8 are vulnerable to CPU exhaustion due to flood of CONTINUATION frames. Envoy's HTTP/2 codec allows the client to send an unlimited number of CONTINUATION frames even after exceeding Envoy's header map limits. This allows an attacker to send a sequence of CONTINUATION frames without the END_HEADERS bit set causing CPU utilization, consuming approximately 1 core per 300Mbit/s of traffic and culminating in denial of service through CPU exhaustion. Users should upgrade to version 1.29.3, 1.28.2, 1.27.4, or 1.26.8 to mitigate the effects of the CONTINUATION flood. As a workaround, disable HTTP/2 protocol for downstream connections.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
envoyproxy · envoy

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/envoyproxy/envoy/security/advisories/GHSA-j654-3ccm-vfmmhttps://www.kb.cert.org/vuls/id/421644http://www.openwall.com/lists/oss-security/2024/04/03/16http://www.openwall.com/lists/oss-security/2024/04/05/3