OpenBao Secrets Operator 主分支曝出 HTTP/2 CONTINUATION 洪水漏洞 GO-2024-2687

OpenBao Secrets Operator 项目的主分支代码库中，发现了一个可被利用的 HTTP/2 协议漏洞。安全扫描工具 govulncheck 标记该漏洞为“可触及”，意味着攻击路径在代码中实际存在。漏洞编号为 GO-2024-2687，根源在于 Go 语言标准库 `net/http` 对 HTTP/2 CONTINUATION 帧的处理存在缺陷。攻击者可通过发送大量 CONTINUATION 帧，迫使 HTTP/2 端点读取任意数量的头部数据，从而可能耗尽服务器资源或导致服务中断。

该漏洞影响项目 `openbao/openbao-secrets-operator` 的 `main` 分支，并波及多个核心依赖，包括 `github.com/aws/aws-sdk-go`、`github.com/hashicorp/vault/api`、`k8s.io/client-go` 以及 Go 标准库本身。问题的核心机制是：为了维护 HPACK 压缩状态，服务器必须解析和处理连接上的所有 HEADERS 和 CONTINUATION 帧。当请求头数据超过 `MaxHeaderBytes` 限制时，系统虽不会为超额部分分配存储内存，但仍需对其进行解析处理，这为资源耗尽攻击创造了条件。

此漏洞对依赖该 Operator 在 Kubernetes 环境中管理敏感秘密（Secrets）的部署构成了直接风险。由于 OpenBao 是 HashiCorp Vault 的分支，常用于企业级秘密管理，其组件的安全缺陷可能波及下游应用。项目维护者已在版本 v0.23.0 中修复了此问题。目前，运行旧版本的用户面临潜在拒绝服务（DoS）攻击风险，需尽快评估升级。