【漏洞预警】HTTP/2 CONTINUATION Flood拒绝服务漏洞

漏洞描述:HTTP/2是一种安全高效的下一代http传输协议,旨在通过引入用于高效数据传输的二进制帧、允许通过单个连接进行多个请求和响应的多路复用以及用于减少开销的标头压缩来提高Web性能,HTTP/2 CONTINUATION帧用于连续字段块片段的序列,近日监测到HTTP/2协议被披露存在拒绝服务漏洞,该漏洞被称为“HTTP/2 CONTINUATION Flood”,可导致拒绝服务（DoS）攻击,在某些实现中可通过单个TCP连接使web服务器崩溃,目前该漏洞的技术细节已公开披露,由于某些HTTP/2协议实现中没有适当限制或清理单个数据流中发送的CONTINUATION 帧的数量,攻击者可通过不设置END_HEADERS标志位,向目标服务器发送CONTINUATION帧流,从而可能导致内存不足崩溃或CPU资源耗尽而导致服务器中断,造成拒绝服务。影响范围:已知HTTP/2 CONTINUATION Flood影响多个项目,不同的HTTP/2实现可能会有特定于该实现的独特漏 ………………………………