轉載「新型態HTTP/2漏洞遭揭露，網頁伺服器可能因為單一連線而癱瘓」訊息

【資安新聞-iThome】

新型態HTTP/2漏洞遭揭露，網頁伺服器可能因為單一連線而癱瘓

研究人員發現新型態的HTTP/2通訊協定漏洞CONTINUATION Flood，一旦攻擊者加以利用，就可能藉由單一連線，來對網頁伺服器發動DDoS攻擊。

研究人員Barket Nowotarski公布名為CONTINUATION Flood的漏洞，這項漏洞與HTTP/2 CONTINUATION框架（frame）使用有關，並指出在實作當中，這些框架往往並未受到合適的限制或是檢查，一旦缺乏框架的正確性檢查，攻擊者就有機會在特定配置的環境，藉由發送極長的字串，導致在處理上述框架的過程，記憶體被用光而當機，或是耗盡處理器資源，最終使得伺服器無法運作。

CERT/CC將上述漏洞登記了9個CVE編號，並指出amphp、Apache HTTP伺服器、Tomcat、Traffic Server、Envoy代理伺服器、Go語言等多個專案曝險。

這次揭露的漏洞共有9項，包括：CVE-2024-27983、CVE-2024-27919、CVE-2024-2758、CVE-2024-2653、CVE-2023-45288、CVE-2024-28182、CVE-2024-27316、CVE-2024-31309、CVE-2024-30255

詳細資訊請參考：https://www.ithome.com.tw/news/162148