HTTP/2 - 跨網(wǎng)絡(luò)使用的 HTTP 網(wǎng)絡(luò)協(xié)議的主要修訂版 - 容易出現(xiàn)一系列拒絕服務(wù)問題。
Netflix 和谷歌的安全研究人員發(fā)現(xiàn)估灿,各種 HTTP/2 實現(xiàn)在嘗試處理異常流量時會受到幾個不同的資源耗盡向量的影響崇呵。
任何問題都為不法分子創(chuàng)建了一種可能的機制撩炊,可以對支持 HTTP/2 通信的服務(wù)器發(fā)起分布式拒絕服務(wù) (DDoS) 攻擊普泡。
一些供應(yīng)商已經(jīng)應(yīng)用了補丁宙橱,建議運行支持技術(shù)的網(wǎng)站應(yīng)用异赫。
在沒有可用補丁的情況下受神,或者在無法及時應(yīng)用的情況下卵慰,建議用戶暫停對 HTTP/2 的支持抬吟,以防萬一渐行。
HTTP/2 漏洞都不會允許攻擊者窺探或修改信息弛针,但它們確實存在允許某人使易受攻擊的服務(wù)器崩潰的可能性叠骑。
在一份公告中,Netflix 解釋說:“我們發(fā)現(xiàn)的許多攻擊媒介……都是一個主題的變體:惡意客戶端要求服務(wù)器做一些生成響應(yīng)的事情削茁,但客戶端拒絕讀取響應(yīng)宙枷。這會練習(xí)服務(wù)器的隊列管理代碼〖氚希”
“根據(jù)服務(wù)器處理隊列的方式慰丛,客戶端可以強制它在處理請求時消耗過多的內(nèi)存和 CPU,”它補充道瘾杭。
周二共披露了 HTTP/2 中的八個 DDoS 漏洞诅病。七個是由 Netflix 的 Jonathan Looney 發(fā)現(xiàn)的,另一個是由 Google 的 Piotr Sikora 發(fā)現(xiàn)的粥烁。
Netflix 的建議對這些各種缺陷進行了介紹贤笆。一個CERT / CC漏洞說明添加了受影響的供應(yīng)商名單。
已經(jīng)采取行動解決問題的公司包括Cloudflare和Akamai讨阻。
SQL沖浪者
HTTP/2 是 HTTP/1.1 的一個階段性變化芥永,它增加了幾個特性,包括頭壓縮和來自多個流的數(shù)據(jù)復(fù)用钝吮。
該規(guī)范于 2015 年 5 月發(fā)布恤左,并于 2015年底獲得了大多數(shù)主要瀏覽器的支持。
根據(jù)W3Techs的最新數(shù)據(jù)搀绣,排名前 1000 萬的網(wǎng)站中約有 40% 支持 HTTP/2?飞袋。
