CVE-2026-31935 是 Suricata 网络入侵检测/防御系统中的一个内存耗尽漏洞。该漏洞允许攻击者通过发送大量特制的 HTTP2 continuation 帧来耗尽服务器内存,通常会导致 Suricata 进程被操作系统关闭,造成服务中断。该漏洞影响 Suricata 8.0.0 及以上版本,但低于 8.0.4 的版本。此问题已在 Suricata 7.0.15 和 8.0.4 版本中得到修复。
Suricata 的 IDS、IPS 和 NSM 引擎中的 CVE-2026-31935 允许攻击者通过用恶意 HTTP/2 延续帧淹没系统来触发内存耗尽情况。如果攻击者能够控制通过 Suricata 的网络流量,他们就可以利用此漏洞使系统过载,从而可能导致拒绝服务 (DoS) 攻击。影响是显著的,因为 Suricata 是一个关键的安全工具,其故障可能会危及整个基础设施的安全。CVSS 严重性评级为 7.5,表明存在高风险。此漏洞影响 7.0.15 和 8.0.4 之前的版本。
利用此漏洞需要能够将 HTTP/2 流量发送到 Suricata。攻击者可以使用 curl 或 netcat 等工具发送大量的恶意 HTTP/2 延续帧。攻击的有效性取决于网络配置和攻击者控制流量的能力。在 Suricata 用于检查 HTTP/2 流量的环境中,此漏洞尤其令人担忧,例如 Web 代理或 Web 应用程序防火墙。HTTP/2 协议的性质,即能够发送多个延续帧,使得利用此漏洞变得容易。
Organizations relying on Suricata for network intrusion detection and prevention are at risk, particularly those running vulnerable versions (≤ 8.0.0, < 8.0.4). Environments with high HTTP2 traffic volume are more susceptible to exploitation. Those using Suricata in virtualized environments or containerized deployments should pay close attention to resource limits and monitoring.
• linux / server:
journalctl -u suricata -f | grep -i 'memory allocation error'• linux / server:
ps aux | grep suricata | awk '{print $4, $6}' | sort -n | tail -n 1• generic web: Monitor Suricata logs for unusual HTTP2 traffic patterns or errors related to frame processing.
disclosure
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
CVE-2026-31935 的解决方案是将 Suricata 升级到 7.0.15 或更高版本,或 8.0.4 或更高版本。这些版本包含一个修复程序,可减轻内存耗尽问题。建议尽快应用此更新以保护系统免受潜在攻击。此外,监控 Suricata 进程的内存使用情况可以帮助检测正在进行的潜在攻击。实施防火墙规则以限制可疑的 HTTP/2 流量也可以作为额外的预防措施。更新是最有效和推荐的解决方案。
Actualice Suricata a la versión 7.0.15 o 8.0.4, o una versión posterior. Esto corregirá la vulnerabilidad de consumo excesivo de recursos causada por la inundación de marcos de continuación HTTP2.
漏洞分析和关键警报直接发送到您的邮箱。
Suricata 是一个开源的入侵检测系统 (IDS)、入侵防御系统 (IPS) 和网络安全监控 (NSM) 引擎。
在命令行中运行命令 suricata -v。
CVSS 7.5 表示高风险,这意味着该漏洞可以被利用并可能产生重大影响。
监控 Suricata 进程的内存使用情况并使用防火墙规则限制可疑的 HTTP/2 流量可以帮助减轻风险,但这并不是一个完整的解决方案。
您可以在 Suricata 发布说明和 NVD(国家漏洞数据库)等漏洞数据库中找到更多信息。
CVSS 向量