一部のHTTP/2実装は、ウィンドウサイズの操作およびストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費される可能性があります。（CVE-2019-9511）一部のHTTP/2実装は、リソースループに対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が複数のリクエストストリームを作成し、優先度ツリーが大幅に変更されるような方法でストリームの優先度を常に入れ替えます。これにより、CPU消費が過剰になります。（CVE-2019-9513）

検出

Amazon Linux 2：nghttp2（ALAS-2019-1298）（Data Dribble）（Resource Loop）

high Nessus プラグイン ID 129790

バージョン 1.5