HTTP / 2 协议被曝安全漏洞，被黑客利用可发起拒绝服务攻击

网络安全研究员Bartek Nowotarski近日报告称，他发现了一个名为"HTTP/2 CONTINUATION Flood"的高风险漏洞。这个漏洞存在于HTTP/2协议中，并且黑客可以利用它来发动拒绝服务（DoS）攻击。

Nowotarski在1月25日向卡内基梅隆大学计算机应急小组(CERT)协调中心报告了这个发现。根据他的说法，这个漏洞是由于对HTTP/2配置不当造成的。具体来说，主要是未能限制或净化请求数据流中的CONTINUATION帧。

当服务器收到一个特定的END_HEADERS标志时，表明没有其他CONTINUATION帧或数据帧接踵而至时，先前分割报头块就视为已完成。如果未设置END_HEADERS标志的服务器开始接收到攻击者发出的请求并发送给它们，则会产生后续一系列的CONTINUATION帧流，最终导致服务器内存不足和崩溃，并成功发起拒绝服务攻击。

值得一提的是，现在这个漏洞还没有得到修复，因此攻击者仍然可以利用它来入侵易受攻击的服务器。据CERT/CC报道，在过去的几周里，他们已经收到了多个报告此问题的电子邮件。