HTTP/2 - 跨网络使用的 HTTP 网络协议的主要修订版 - 容易出现一系列拒绝服务问题。
Netflix 和谷歌的安全研究人员发现,各种 HTTP/2 实现在尝试处理异常流量时会受到几个不同的资源耗尽向量的影响。
任何问题都为不法分子创建了一种可能的机制,可以对支持 HTTP/2 通信的服务器发起分布式拒绝服务 (DDoS) 攻击。
一些供应商已经应用了补丁,建议运行支持技术的网站应用。
在没有可用补丁的情况下,或者在无法及时应用的情况下,建议用户暂停对 HTTP/2 的支持,以防万一。
HTTP/2 漏洞都不会允许攻击者窥探或修改信息,但它们确实存在允许某人使易受攻击的服务器崩溃的可能性。
在一份公告中,Netflix 解释说:“我们发现的许多攻击媒介……都是一个主题的变体:恶意客户端要求服务器做一些生成响应的事情,但客户端拒绝读取响应。这会练习服务器的队列管理代码。”
“根据服务器处理队列的方式,客户端可以强制它在处理请求时消耗过多的内存和 CPU,”它补充道。
周二共披露了 HTTP/2 中的八个 DDoS 漏洞。七个是由 Netflix 的 Jonathan Looney 发现的,另一个是由 Google 的 Piotr Sikora 发现的。
Netflix 的建议对这些各种缺陷进行了介绍。一个CERT / CC漏洞说明添加了受影响的供应商名单。
已经采取行动解决问题的公司包括Cloudflare和Akamai。
SQL冲浪者
HTTP/2 是 HTTP/1.1 的一个阶段性变化,它增加了几个特性,包括头压缩和来自多个流的数据复用。
该规范于 2015 年 5 月发布,并于 2015年底获得了大多数主要浏览器的支持。
根据W3Techs的最新数据,排名前 1000 万的网站中约有 40% 支持 HTTP/2 。