OpenBao Secrets Operator 主分支曝出 HTTP/2 CONTINUATION 洪水漏洞 GO-2024-2687

OpenBao Secrets Operator 的主分支代码库中，一个被标记为“可被利用”的严重安全漏洞已被发现。该漏洞编号为 GO-2024-2687，存在于项目的 net/http 包中，涉及 HTTP/2 协议的一个关键缺陷。攻击者可通过发送大量 CONTINUATION 帧，迫使 HTTP/2 端点读取任意数量的标头数据，从而发起拒绝服务攻击。尽管请求的标头超出 MaxHeaderBytes 限制后不会被存储，但仍会被解析，这为攻击者创造了消耗服务器资源的途径。

具体而言，维护 HPACK 状态需要解析和处理连接上的所有 HEADERS 和 CONTINUATION 帧。当攻击者构造一个包含过量 CONTINUATION 帧的请求时，即使该请求最终因标头过大而被拒绝，接收方仍必须耗费大量计算资源来解析这些帧。尤其危险的是，攻击者可以使用霍夫曼编码的数据，使得接收方解码的成本远高于攻击者发送的成本，从而以极低的攻击成本实现高效的资源耗尽。此漏洞已在 OpenBao Secrets Operator 的 v0.23.0 版本中得到修复。

对于依赖 OpenBao Secrets Operator 进行密钥管理的系统和平台而言，此漏洞构成了直接的安全风险。未及时升级到修复版本的服务可能面临被恶意流量压垮的风险，导致服务中断。鉴于该漏洞的利用门槛相对较低且影响直接，所有使用该组件的开发与运维团队应立即评估其部署版本，并优先安排升级至 v0.23.0 或更高版本，以缓解潜在的攻击威胁。