Эксперты обнаружили восемь уязвимостей актуальной версии протокола, способные выводить веб-ресурсы из строя.
Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обрушит на цель запросы без возможности предоставить адекватные ответы.
По информации на момент публикации, заплатки ко всем уязвимостям выпустила компания Cloudfare, которая работает с решением NGINX. Разработчики Apple и Microsoft залатали по пять дыр, влиявших на их системы. Специалисты Akamai, которые также отметились патчами, в пояснении к уязвимостям сравнили их с атаками на базе Slowloris — эта техника также расходовала ресурсы веб-сервера неполными запросами.
Список затронутых продуктов также включает Ambassador (API Gateway), Apache Traffic Server, Netty Project, nghttp2, Node.js, Envoy (Proxy).
Технически обнаруженные уязвимости похожи друг на друга. Различия заключаются в типе данных, которые перегружают атакуемый сервер:
По словам специалистов Cloudfare, с момента обнаружения уязвимостей они отслеживают появление атак на их основе. На данный момент известно о нескольких локальных инцидентах, но до масштабных атак дело пока не дошло.