8个新的HTTP/2实现缺陷使网站面临DoS攻击

HTTP/2于2015年5月推出，旨在通过加快页面加载来提高安全性和改善在线体验。如今，超过数亿个网站，或者说互联网上所有网站的40%，正在使用HTTP/2协议运行。

总共有八个严重性很高HTTP/2漏洞Netflix的Jonathan Looney和Google的Piotr Sikora分别发现了七个和一个，它们的存在是因为在处理恶意输入时资源耗尽，从而允许客户端超载服务器的队列管理代码。

这些漏洞可被利用，对数百万在线服务和网站发起拒绝服务（DoS）攻击，这些服务和网站运行在一个有漏洞的HTTP/2实现的web服务器上，使所有人都无法使用。
用外行的话说，攻击场景是，恶意客户端要求目标易受攻击的服务器执行生成响应的操作，但客户端拒绝读取响应，迫使其在处理请求时消耗过多的内存和CPU。

Netflix在周二发布的一份公告中解释道：“这些缺陷允许少量低带宽恶意会话来阻止连接参与者进行额外的工作。这些攻击可能会耗尽资源，导致同一台机器上的其他连接或进程也可能受到影响或崩溃”。

以下列出的大多数漏洞都在HTTP/2传输层工作：

1. CVE-2019-9511—HTTP/2“数据运球”
2. CVE-2019-9512—http://2“ping flood”
3. CVE-2019-9513—http://2“资源循环”
4. CVE-2019-9514—HTTP/2“重置洪水”
5. CVE-2019-9515—HTTP/2“设置洪水”
6. CVE-2019-9516—HTTP/2“0长度头泄漏”
7. CVE-2017-9517—HTTP/2“内部数据缓冲”
8. CVE-2019-9518—HTTP/2“请求数据/报头洪水”

“一些攻击的效率足够高，以至于单端系统可能会对多台服务器造成严重破坏。其他攻击的效率较低；然而，即使效率较低的攻击也可能为难以检测和阻止的DDoS攻击打开大门，”该顾问表示。
但是，应该注意的是，这些漏洞只能用于造成DoS情况，不允许攻击者破坏易受攻击服务器中包含的数据的机密性或完整性。

Netflix安全团队与谷歌和CERT协调中心合作，披露了报告的HTTP/2漏洞。2019年5月，Netflix安全团队在多个HTTP/2服务器实现中发现了八分之七的漏洞，并负责地向每个受影响的供应商和维护者报告了这些漏洞。

根据CERT，受影响的供应商包括NGINX、Apache、H2O、Nghttp2、微软（IIS）、Cloudflare、Akamai、苹果（SwiftNIO）、亚马逊、Facebook（Proxygen）、Node。js和特使代理，其中许多已经发布了安全补丁和建议。