Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2023-39325

high Nessus 插件 ID 226647

版本 1.10