研究人员披露名为 HTTP/2 Bomb 的远程拒绝服务攻击,影响 NGINX、Apache HTTPD、Microsoft IIS、Envoy 和 Cloudflare Pingora 的默认 HTTP/2 配置。攻击把 HPACK 压缩放大与类似 Slowloris 的连接占用结合起来,可持续占住服务器内存。
文中称,100 Mbps 家用网络可在数秒内让部分服务器不可用,Apache httpd 和 Envoy 单个客户端约 20 秒可占住 32 GB 内存。nginx 已在 1.29.8+ 加入修复,Apache 修复在 mod_http2 v2.0.41,IIS、Envoy 和 Pingora 暂无补丁。
Calif | The Hacker News
🌸 在花频道 · 备用频道 · 投稿通道
