Уязвимость HTTP/2 CONTINUATION Flood угрожает веб-серверам DoS-атаками

Екатерина Быстрова 04 Апреля 2024 - 18:29

...

Уязвимость HTTP/2 CONTINUATION Flood угрожает веб-серверам DoS-атаками

Как показало новое исследование специалиста по кибербезопасности Бартека Новотарски, фрейм CONTINUATION в протоколе HTTP/2 можно использовать для проведения атак вида DoS (отказ в обслуживании). Вектор получил имя HTTP/2 CONTINUATION Flood.

Новотарски сообщил о своей находке представителям Координационного центра CERT 25 января 2024 года. Сам центр на днях опубликовал по этому поводу следующее сообщение:

«Многие имплементации HTTP/2 некорректно ограничивают или обрабатывают число фреймов CONTINUATION, отправленных в одном потоке. Условный атакующий может послать пакеты целевому серверу вместе с потоком фреймов CONTINUATION, которые не будут фигурировать в списке заголовков в памяти».

«Тем не менее эти фреймы всё равно будут обрабатываться и декодироваться сервером, приводят к сбою в работе из-за нехватки памяти».

HTTP/2, как и предыдущая версия — HTTP/1, использует поля заголовков в запросах и ответах. Эти поля могут содержать списки, которые обрабатываются и разбиваются на блоки заголовков, а последние затем делятся на фрагменты и передаются внутри HEADER. Это и называется фреймами CONTINUATION.

Последний фрейм должен содержать флаг END_HEADERS, что даёт понять удалённой точке: это конец блока заголовка. Как отметил Новотарски, CONTINUATION Flood представляет собой класс уязвимостей в нескольких реализациях протокола HTTP/2.

И этот вектор атаки представляет большую угрозу, чем Rapid Reset, о которой рассказывали в октябре 2023 года.

«Одно устройство (в некоторых случаях это может быть одно TCP-соединение или несколько фреймов) может привести к недоступности сервера — начиная от сбоя, заканчивая заметным снижением производительности», — объясняет Новотарски.

Проблема затрагивает:

amphp/http (CVE-2024-2653),
Apache HTTP Server (CVE-2024-27316),
Apache Tomcat (CVE-2024-24549),
Apache Traffic Server (CVE-2024-31309),
Envoy proxy (CVE-2024-27919 и CVE-2024-30255),
Golang (CVE-2023-45288),
h2 Rust crate, nghttp2 (CVE-2024-28182),
Node.js (CVE-2024-27983),
Tempesta FW (CVE-2024-2758).

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 25 Мая 2026 - 09:00

Домашние пользователи Корпорации

МойОфис уведомил сотрудников о предстоящем сокращении

Сотрудники компании «Новые облачные технологии», разработчика офисного пакета «МойОфис», начали получать по электронной почте уведомления о предстоящих сокращениях. Возможные увольнения могут затронуть все подразделения, за исключением службы технической поддержки.

О такой рассылке сообщают «Ведомости» со ссылкой на два источника, близких к компании. По словам одного из них, в штате могут остаться только сотрудники технической поддержки, тогда как остальных работников планируется уволить.

Точный масштаб сокращений источники не уточнили. При этом один из собеседников издания заявил, что некоторые подразделения попали под сокращение в полном составе.

«В чате бывших сотрудников „МойОфис“ состоит свыше 600 человек. Один из них говорит, что их пытались увольнять без компенсаций, но они организовали профсоюз. Тогда под угрозой исков персоналу начали предлагать нормальные условия расставания. По его словам, в ряде случаев трудящихся старались убрать под мнимыми предлогами, включая опоздания на работу на 10 минут, задержку отчётов по командировке на один день и прочее», — сообщил один из информаторов «Ведомостей».

Сообщения о массовых сокращениях в компании начали появляться в СМИ ещё в конце марта. Причиной назывались финансовые трудности, с которыми «Новые облачные технологии» столкнулись в конце 2025 года.

Позже появлялась информация о возможном прекращении выпуска офисного пакета, однако пресс-служба компании оперативно её опровергла. Кроме того, в компании напомнили о выходе нового релиза «МойОфис», который был представлен в тот же день.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!