已检测到 HTTP/2 协议中存在严重漏洞,可导致远程拒绝服务攻击。流行的服务器如 NGINX、Apache、IIS、Envoy 和 Cloudflare 均面临风险。攻击者可使网站离线,影响购物、事务处理或日常信息获取。立即解决方案是应用安全补丁,以避免关键服务中断。
漏洞利用 HTTP/2 的流管理机制 🔥
该漏洞存在于 HTTP/2 处理并发流的方式中。攻击者发送多个请求,迫使服务器消耗内存和 CPU 直至崩溃。影响 NGINX、Apache、IIS 和 Envoy 的默认配置。Cloudflare 已实施缓解措施,但管理员必须检查其版本。未打补丁时,单次攻击即可使关键服务瘫痪,且无需大量带宽。
系统管理员无法安睡的又一个理由 😅
如果你觉得每周二修补 Log4j、SSL 和内核还不够,现在 HTTP/2 又给你带来新的噩梦。更妙的是,这个漏洞让你服务器瘫痪所需的力气,比你解释为什么没更新还要少。所以你知道该怎么做了:咖啡、补丁,然后祈祷攻击者在周日有更好的事情可做。