HTTP/2爆弾脆弱性、複数の主要ウェブサーバーでリモートDoS攻撃が可能

概要

サイバーセキュリティ研究者が、NGINX、Apache HTTPD、Microsoft IIS、Envoy、Cloudflareなど主要なウェブサーバーに影響する新たなリモート・サービス妨害攻撃（DoS）脆弱性を発見しました。「HTTP/2爆弾」と名付けられたこの脆弱性は、HTTP/2のヘッダ圧縮スキーム「HPACK」を悪用し、1バイトのデータがサーバー上で完全なヘッダ割り当てに拡大される仕組みです。攻撃者は低速通信（100Mbps）環境からでも数秒で標的サーバーを機能停止させられます。Apache HTTPDとEnvoyに対しては、1つのクライアントが約20秒で32GBのサーバーメモリを消費・保持可能です。既知の圧縮爆弾技術とSlowloris型攻撃を組み合わせた手法で、デコードされたサイズ制限をバイパスします。

元記事（The Hacker News）