q343959872
q343959872
HTTP/2 网络协议是HTTP(超文本传输协议)的第二个版本,通过客户端和服务器之间的多路复用(即:同时在单个连接上发送多个HTTP请求和响应)提高数据传输的性能和效率,互联网中约 62% 的服务使用 HTTP/2 协议。HTTP/2 协议的 Rapid Reset 缺陷指攻击者可以在 HTTP/2 协议中创建新的多路复用流,然后立即发送取消流(RST_STREAM),导致服务器不断分配资源处理流的创建和取消请求,最终资源耗尽导致拒绝服务。目前此漏洞已被在野利用,并且影响产品较多,目前 Netty、Go、Apache tomcat、grpc-go、jetty、nghttp2、Apache traffic server、Nginx、Vespa Cloud等修复该漏洞。Nginx 默认配置允许客户端最多保持1000个HTTP连接(可通过 keepalive 配置),默认配置下不受该漏洞影响。 建议受影响用户升级至以下版本: Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94 ---------- The HTTP/2 network protocol...
- [ ] I have searched the [issues](https://github.com/seata/seata/issues) of this repository and believe that this is not a duplicate. ### Ⅰ. Issue Description ### Ⅱ. Describe what happened If there...