リモートホストにインストールされている nghttp2 のバージョンは、1.41.0-1 より前です。したがって、ALAS2-2023-2312 のアドバイザリに記載されている脆弱性の影響を受けます。

  - HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームを迅速にリセットできるため、サービス拒否 (サーバーリソースの消費) を引き起こすことができます。これは、2023 年 8 月から 10 月まで、野放しで悪用されていました。(CVE-2023-44487)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Amazon Linux 2 : nghttp2 (ALAS-2023-2312)

high Nessus プラグイン ID 183205

バージョン 1.1