网络安全研究员Bartek Nowotarski近日报告称,他发现了一个名为"HTTP/2 CONTINUATION Flood"的高风险漏洞。这个漏洞存在于HTTP/2协议中,并且黑客可以利用它来发动拒绝服务(DoS)攻击。
Nowotarski在1月25日向卡内基梅隆大学计算机应急小组(CERT)协调中心报告了这个发现。根据他的说法,这个漏洞是由于对HTTP/2配置不当造成的。具体来说,主要是未能限制或净化请求数据流中的CONTINUATION帧。
当服务器收到一个特定的END_HEADERS标志时,表明没有其他CONTINUATION帧或数据帧接踵而至时,先前分割报头块就视为已完成。如果未设置END_HEADERS标志的服务器开始接收到攻击者发出的请求并发送给它们,则会产生后续一系列的CONTINUATION帧流,最终导致服务器内存不足和崩溃,并成功发起拒绝服务攻击。
值得一提的是,现在这个漏洞还没有得到修复,因此攻击者仍然可以利用它来入侵易受攻击的服务器。据CERT/CC报道,在过去的几周里,他们已经收到了多个报告此问题的电子邮件。
本文属于原创文章,如若转载,请注明来源:HTTP / 2 协议被曝安全漏洞,被黑客利用可发起拒绝服务攻击https://news.zol.com.cn/864/8647633.html
