HTTP/2爆弾攻撃、数秒でウェブサーバーをダウン

概要

複数の主要なウェブサーバーのデフォルト設定に、圧縮爆弾とSlowloris攻撃を組み合わせた新たな脆弱性が発見されました。この『HTTP/2爆弾』攻撃では、攻撃者が圧縮データを悪用して膨大なメモリを消費させ、同時にサーバーの処理を遅延させることで、数秒以内にウェブサーバーをオフライン状態に落とすことが可能です。圧縮爆弾はデータ圧縮機能を悪用して小さなペイロードを展開時に莫大なサイズに膨張させる攻撃で、Slowloris攻撃はリソースを長時間保持して消耗させます。この脆弱性の影響範囲は広く、デフォルト設定のまま運用されている企業サーバーが特に危険です。現在のところ、対策としてはHTTP/2の圧縮機能の無効化やリソース制限の厳格化が推奨されています。

元記事（SecurityWeek）