Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
Раскрыты сведения об методе атаки «Continuation flood», затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость «Rapid Reset«, использованная для совершения крупнейших на то время DDoS-атак. Высокий уровень опасности объясняется тем, что для нарушения работы сервера, аварийного завершения … Читать далее Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0