United States Computer Emergency Readiness Team (US-CERT)は8月14日(米国時間)、「Multiple HTTP/2 Implementation Vulnerabilities|CISA」において、複数のHTTP/2実装に脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってDoS(サービス運用妨害)状態を引き起こされる危険性があるとされている。

脆弱性に関する詳細情報は次のページにまとまっている。

  • VU#605641 -  HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion

    VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion

該当する脆弱性は、CVE-2019-9511(Data Dribble )、CVE-2019-9512(Ping Flood)、CVE-2019-9513(Resource Loop)、CVE-2019-9514(Reset Flood )、CVE-2019-9515(Settings Flood)、 CVE-2019-9516(0-Length Headers Leak)、CVE-2019-9517(Internal Data Buffering)、CVE-2019-9518(Empty Frame Flooding)と多岐にわたっている。

JPCERT/CCは、対策として、各 HTTP/2 実装者が提供するアップデートを適用することを推奨している。Apache Software Foundation、Appleなどがこの脆弱性に関して情報を公開している。