OpenBao Secrets Operator 主分支曝出 HTTP/2 洪水漏洞 GO-2024-2687，攻击者可强制读取任意量头部数据

OpenBao Secrets Operator 项目的主分支代码库中，发现了一个可被利用的严重安全漏洞。漏洞追踪编号为 GO-2024-2687，存在于多个核心依赖中，包括 `golang.org/x/net` 等。攻击者通过向 HTTP/2 端点发送过量的 CONTINUATION 帧，可以强制服务器读取任意数量的头部数据，从而可能耗尽服务器资源或导致服务中断。该漏洞的威胁级别为“可触及”，意味着在现有代码路径中存在被利用的风险。

具体而言，该漏洞源于 HTTP/2 协议实现中对 CONTINUATION 帧的处理缺陷。为了维护 HPACK 状态，服务器必须解析和处理连接上的所有 HEADERS 和 CONTINUATION 帧。当攻击者恶意构造并发送海量的 CONTINUATION 帧时，即使请求头部总大小超过了服务器设置的 `MaxHeaderBytes` 限制，攻击载荷仍会被处理，从而绕过内存分配限制，对服务器造成持续性压力。此漏洞影响 `golang.org/x/net` 模块的多个版本，已在 `v0.23.0` 版本中得到修复。

对于依赖 OpenBao Secrets Operator 进行 Kubernetes 秘密管理的企业而言，此漏洞构成了直接的安全威胁。攻击者可能利用此缺陷对关键基础设施发起拒绝服务攻击，或作为更复杂攻击链的初始环节。项目维护者需立即将受影响的依赖升级至已修复版本，并审查所有集成了该操作器的生产环境。鉴于该漏洞的利用门槛相对较低且影响范围涉及云原生安全的核心组件，相关开发和运维团队应将其视为高优先级处理事项。