NetflixのJonathon Loomey氏による報告: 

HTTP/2実装では、異常なトラフィックとリソースの枯渇が確実に処理されません

最近、広範囲のHTTP/2スタックで一連のDoS攻撃の脆弱性が報告されています。このような脆弱性の中で、H2Oは以下の脆弱性にさらされています。

- CVE-2019-9512「Ping Flood」: 攻撃者はHTTP/2ピアに継続的にpingを送信し、ピアに応答の内部キューを作成させます。
このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9514「Reset Flood」: 攻撃者は多数のストリームを開き、各ストリームで、ピアからRST_STREAMフレームのストリームを要求する無効なリクエストを送信します。ピアがRST_STREAMフレームをキューに入れる方法によって、メモリ、CPU、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9515「Settings Flood」: 攻撃者がSETTINGSフレームのストリームをピアに送信します。RFCではピアがSETTINGSフレームごとに1つの確認応答で返信することが要求されているため、空のSETTINGSフレームの動作はpingとほぼ同等です。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

検出

FreeBSD: h2o -- 複数のHTTP/2脆弱性（72a5579e-c765-11e9-8052-0028f8d09152）（Ping Flood）（Reset Flood）（Settings Flood）

high Nessus プラグイン ID 128135

バージョン 1.5