nghttp2 GitHub リリース: 

このリリースでは、nghttpxおよびnghttpdでのCVE-2019-9511「Data Dribble」とCVE-2019-9513「Resource Loop」が修正されます。特別に細工されたHTTP/2フレームにより、CPU時間を消費することでサービス拒否が引き起こされます。
詳細についてはhttps://github.com/Netflix/security-bulletins/blob/master/advisories/t hird-party/2019-002.mdをチェックしてください。nghttpxでは、--read-rateおよび--read-burstオプションを使用して着信トラフィックをさらに制限すると、このような攻撃に対して非常に効果的です。

CVE-2019-9511「Data Dribble」: 攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

CVE-2019-9513「Ping Flood」: 攻撃者はHTTP/2ピアに継続的にpingを送信し、ピアに応答の内部キューを作成させます。
このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

検出

FreeBSD: nghttp2 -- 複数の脆弱性（121fec01-c042-11e9-a73f-b36f5969f162）（Data Dribble）（Resource Loop）

high Nessus プラグイン ID 127945

バージョン 1.6