​新HTTP2漏洞曝光，允许黑客利用未修补服务器触发DoS攻击 – 作者:厦门安胜网络科技有限公司

据外媒报道，近日安全研究人员披露了HTTP/2协议的八个漏洞，允许黑客利用支持HTTP/2通信的未修补服务器触发拒绝服务（DoS）攻击。

图片来源于pixabay

据悉，这些漏洞允许黑客发动远程攻击，利用其中严重的漏洞从单个终端系统影响多个服务器，利用效率较低的漏洞发动DDoS攻击。其中七个漏洞由Netflix及Google安全研究人员发现，Netflix研究人员表示所有漏洞都是同一主题的变体，客户端从易受攻击的服务器触发响应，并拒绝阅读。

图片来源于unsplash

根据服务器管理队列方式，黑客可强制客户端使用过多的内存和CPU来处理传入请求，DoS攻击可导致服务器无响应并拒绝用户访问网页。亚马逊、阿帕奇、苹果、Facebook、微软、nginx、Node.js和Ubuntu等供应商受影响。

图片来源于pixabay

截至目前，部分供应商已更新修复，Cloudflare宣布已修复影响其负责HTTP/2通信的Nginx服务器的七个漏洞，微软发布五个补丁修复影响其HTTP/2协议栈（HTTP.sys中）的漏洞。

来源：http://rrd.me/ekmzR，“ISEC安全e站”独家编译，转载请注明出处及本文链接。

来源：freebuf.com 2019-08-14 14:03:41 by: 厦门安胜网络科技有限公司