В протоколе HTTP/2 нашли ряд уязвимостей, получивших общее название Continuation Flood Специалист обнаружил серию уязвимостей в протоколе
HTTP/2, получивших общее название
Continuation Flood. Эти проблемы могут привести к атакам на отказ в обслуживании
(DoS) и способны вывести из строя веб-серверы в некоторых имплементациях при помощи одного
TCP-соединения. По словам эксперта,
Continuation Flood гораздо опаснее похожей проблемы
Rapid Reset, обнаруженной прошлой осенью.
Напомним, что
HTTP/2 представляет собой обновленную версию протокола
HTTP, стандартизированную в 2015 году и призванную повысить производительность веб-серверов за счет внедрения бинарного
фрейминга (binary framing) для более эффективной передачи данных, мультиплексирования для передачи нескольких запросов и ответов через одно соединение, а также сжатия заголовков.
Проблемы
Continuation Flood были обнаружены исследователем
Баркетом Новотарски (Barket Nowotarski). Он утверждает, что уязвимости связаны с использованием фреймов
HTTP/2 CONTINUATION, которые во многих имплементациях протокола не ограничиваются и не проверяются должным образом.
