Researchers and vendors have disclosed a denial-of-service (DoS) vulnerability in HTTP/2 protocol. The vulnerability (CVE-2023-44487), known as Rapid Reset, has been exploited in the wild in August 2023 through October 2023.
Експлоатация върху уеб сървъри с HTTP/2 води до Layer 7 DoS – denial of service (server resource consumption) атака. Тя се изразява в следното: Генерират се заявки, които биват едностранно спрени от клиента, дори преди да е получен отговор от уеб сървъра, чрез изпращане на RST_STREAM frame. За всяка заявка може да се изпратят неограничен брой заявки за прекратяване, които се обработват от уеб сървъра и води до претоварване и изчерпване на ресурсите му.
CERT Bulgaria encourages users and administrators to review the following advisories and apply the necessary updates