El listado completo de projectos afectados se puede consultar en el apartado Affected projects del artículo del investigador.
El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.
Actualizar el software afectado a la última versión que contenga la corrección para cada vulnerabilidad. Si no hay ninguna solución disponible, se recomienda desactivar temporalmente HTTP/2 en el servidor.
- CVE-2024-27983: afecta al servidor HTTP/2 de Node.js. El envío de unas pocas tramas HTTP/2 podría causar una fuga de memoria debido a una condición de carrera, lo que lleva a un potencial ataque DoS.
- CVE-2024-27919: afecta al códec oghttp de Envoy. Consumo de memoria ilimitado debido a que no se restablece una solicitud cuando se superan los límites del mapa de encabezados.
- CVE-2024-2758: relacionado con Tempesta FW. Sus límites de velocidad no están impidiendo eficazmente los ataques de marcos vacíos de CONTINUATION, permitiendo potenciales ataques DoS.
- CVE-2024-2653: afecta a amphp/http. Recoge tramas CONTINUATION en un búfer no limitado, arriesgando a un fallo en OOM si se excede el límite de tamaño de cabecera.
- CVE-2023-45288: afecta a los paquetes net/http y net/http2 de Go. Podría permitir a un atacante enviar un conjunto arbitrariamente grande de cabeceras, causando un consumo excesivo de CPU.
- CVE-2024-28182: involucra una implementación usando la librería nghttp2, que continúa recibiendo tramas CONTINUATION, llevando a un ataque DoS sin un callback de reinicio de flujo apropiado.
- CVE-2024-27316: afecta a Apache Httpd. Se podría enviar un flujo continuo de tramas CONTINUATION sin el indicador END_HEADERS establecido, lo que podría causar una terminación incorrecta de las solicitudes.
- CVE-2024-31309: afecta al servidor de tráfico Apache. El ataque DoS CONTINUATION podría causar un consumo excesivo de recursos en el servidor.
- CVE-2024-30255: afecta a las versiones de Envoy 1.29.2 o anteriores. Vulnerable al agotamiento de la CPU debido a una avalancha de tramas CONTINUATION, consumiendo importantes recursos del servidor.