均覆盖 2005 年后的老旧版本),左侧标注漏洞及核心危害,横向列示各类服务,适配手机阅读:
| 漏洞名称(核心危害) | IIS(2005 年后受影响版本) | Apache(2005 年后受影响版本) | Nginx(2005 年后受影响版本) | Go(HTTP 服务受影响版本) | Python(HTTP 服务受影响版本) |
|---|---|---|---|---|---|
| CVE - 2023 - 44487(HTTP/2 快速重置致 DoS) | 7.0~10(所有启用 HTTP/2 的版本,未装 2023 年 10 月后补丁) | 2.2.x 全版本、2.4.x<2.4.65;Traffic Server 8.0.0~8.1.8、9.0.0~9.2.2 | 0.7.x 及以上至 1.21.4.1(启用 HTTP/2) | 1.15.x<1.15.12、1.16.x<1.16.4、1.23.x<1.23.8、1.24.x<1.24.2 | urllib3 2.2.0~2.4.9、requests 依赖该版本 urllib3 的衍生版本 |
| CVE - 2023 - 2698 + CVE - 2022 - 41741(请求头溢出致 RCE/DoS) | 不受影响 | 不受影响 | 0.7.52~1.21.4.1 全版本 | 不受影响 | 不受影响 |
| SSL/TLS 协议漏洞(中间人攻击、数据泄露) | 6.0~10(启用 TLS1.0/1.1,或用 OpenSSL1.0.1~1.0.1f) | 2.2.x 全版本、2.4.x<2.4.43(启用低版本 TLS 或旧版 OpenSSL) | 0.7.x~1.21.4.1(启用 HTTPS 且未禁用低版本 TLS) | 所有使用 crypto 库 < 1.1.1g 的版本,启用 TLS1.0/1.1 的版本 | ssl 库对应 OpenSSL1.0.1~1.0.1f 的版本;requests<2.31.0(依赖旧版 SSL 组件) |
| Lua 模块漏洞(内存泄漏 / RCE 风险) | 不受影响(无 lua - resty 模块) | 2.2.x、2.4.x<2.4.65(启用 mod_lua 的旧版) | 0.8.41~1.21.4.1(OpenResty 搭载 lua - nginx - module≤0.10.26) | 不受影响(无 lua 相关依赖) | 不受影响(无 lua - resty 系列模块) |
| HTTP/2 资源耗尽 DoS(连接池 / CPU 耗尽) | 7.0~10(启用 HTTP/2 且未配置并发阈值) | 2.2.x 全版本、2.4.x<2.4.65(启用 HTTP/2) | 0.7.x 及以上至 1.21.4.1(启用 HTTP/2) | 1.15.x<1.15.12、1.16.x<1.16.4(net/http 未限制并发流) | aiohttp<3.9.0、tornado<6.3.0(未限制 HTTP/2 并发流) |
注:表格中 "<版本号" 指低于该版本均受影响,老旧版本因停止维护,无补丁修复,建议优先升级至各服务最新
阿雪技术观
让我们积极投身于技术共享的浪潮中,不仅仅是作为受益者,更要成为贡献者。无论是分享自己的代码、撰写技术博客,还是参与开源项目的维护和改进,每一个小小的举动都可能成为推动技术进步的巨大力量
Embrace open source and sharing, witness the miracle of technological progress, and enjoy the happy times of humanity! Let's actively join the wave of technology sharing. Not only as beneficiaries, but also as contributors. Whether sharing our own code, writing technical blogs, or participating in the maintenance and improvement of open source projects, every small action may become a huge force driving technological progrss.