OpenBao Secrets Operator 主分支暴露 HTTP/2 洪水漏洞 GO-2024-2687

OpenBao Secrets Operator 的主代码库中，一个可被利用的 HTTP/2 协议漏洞已被安全扫描工具 govulncheck 标记为“可触及”。该漏洞编号为 GO-2024-2687，存在于多个核心依赖中，包括 `golang.org/x/net` 库。攻击者可通过发送过量的 CONTINUATION 帧，迫使 HTTP/2 端点读取任意数量的头部数据，从而可能耗尽服务器资源或导致服务中断。

漏洞直接影响 `openbao/openbao-secrets-operator` 仓库的 `main` 分支。受影响的依赖版本范围广泛，涉及 `github.com/aws/aws-sdk-go`、`github.com/hashicorp/vault/api`、`k8s.io/client-go` 等多个关键组件。问题的核心在于，当请求头数据超过 `MaxHeaderBytes` 限制时，虽然不会分配新内存，但维护 HPACK 状态需要解析和处理连接上的所有 HEADERS 和 CONTINUATION 帧，这为资源耗尽攻击创造了条件。官方修复存在于 `golang.org/x/net` 模块的 `v0.23.0` 版本中。

此发现对依赖 OpenBao Secrets Operator 在 Kubernetes 环境中管理敏感凭证的部署构成了直接安全风险。由于漏洞位于底层网络库且影响 HTTP/2 这一广泛使用的协议，其潜在影响面可能超出单一项目。运维团队需紧急评估其部署版本，并计划升级至包含修复的依赖链，以缓解潜在的拒绝服务攻击风险。