CVE-2024-30255 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Envoy HTTP/2 协议栈存在缺陷，遭遇 **CONTINUATION 帧泛滥**攻击。 💥 **后果**：导致 **CPU 资源耗尽**，服务不可用（DoS）。

🔍 **CWE**：CWE-390 (未检测到的错误条件)。 📍 **缺陷点**：HTTP/2 编解码器允许客户端在超出限制后继续发送 **无限数量的 CONTINUATION 帧**，未做有效拦截。

📦 **组件**：Envoy (开源分布式代理服务器)。 📉 **受影响版本**： - < 1.29.3 - < 1.28.2 - < 1.27.4 - < 1.26.8

🛑 **黑客能力**：仅限 **拒绝服务 (DoS)**。 📊 **数据/权限**：无数据泄露 (C:N)，无权限提升 (I:N)，仅造成可用性降低 (A:L)。

🚪 **利用门槛**：**低**。 🌐 **网络**：网络可达 (AV:N)。 🔑 **认证**：**无需认证** (PR:N)。 👤 **交互**：**无需用户交互** (UI:N)。

💻 **PoC**：**有**。 🔗 **来源**：GitHub 上 blackmagic2023 发布的 Python 脚本。 📝 **描述**：演示通过洪水式 CONTINUATION 帧导致 CPU 耗尽。

🔎 **自查方法**： 1. 检查 Envoy 版本是否在上述 **受影响列表** 中。 2. 监控 Envoy 代理的 **CPU 使用率** 是否异常飙升。 3. 审查流量日志，查找异常的 **HTTP/2 CONTINUATION 帧** 频率。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2024-04-04。 ✅ **建议**：升级至 **1.29.3**、**1.28.2**、**1.27.4** 或 **1.26.8** 及以上版本。

⚠️ **临时规避**： - 部署 **WAF** 或 **网关** 限制 HTTP/2 帧速率。 - 配置 **速率限制**，防止单连接发送过多 CONTINUATION 帧。 - 增加 **CPU 资源配额** 或限制并发连接数。

🔥 **优先级**：**中/高**。 📌 **理由**：无需认证即可利用，直接导致服务瘫痪。虽然不泄露数据，但 **可用性风险** 极大，建议 **尽快升级**。