一部のHTTP/2実装は、ウィンドウサイズの操作およびストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費される可能性があります。（CVE-2019-9511）一部のHTTP/2実装は、リソースループに対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が複数のリクエストストリームを作成し、優先度ツリーが大幅に変更されるような方法でストリームの優先度を常に入れ替えます。これにより、CPU消費が過剰になります。（CVE-2019-9513）

検出

Amazon Linux AMI：nghttp2（ALAS-2019-1298）（Data Dribble）（Resource Loop）

high Nessus プラグイン ID 129568

バージョン 1.5

バージョン 1.3

バージョン 1.5 Apr 19, 2024, 2:11 PM CVSSv2 score source (set to "CVE-2019-9513") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202404191411
バージョン 1.3 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254