VU#421644 : Les trames HTTP/2 CONTINUATION peuvent être utilisées pour des attaques par déni de service

HTTP/2 permet la transmission des champs d'en-tête dans les sections d'en-tête et de pied de page, qui peuvent être divisés en blocs d'en-tête et transmis en plusieurs fragments. Une vulnérabilité a été découverte dans plusieurs implémentations HTTP/2 qui ne limitent pas le nombre de trames CONTINUATION envoyées dans un seul flux, ce qui conduit à des plantages de type « hors mémoire » (OOM). Un attaquant peut exploiter cette faille en envoyant un flux de trames CONTINUATION sans définir le drapeau END_HEADERS, ce qui oblige le serveur à traiter et à décoder les trames, entraînant un plantage OOM. Cette vulnérabilité affecte diverses implémentations, notamment Node.js, Envoy, Tempesta FW, amphp/http, les packages Go net/http et net/http2, Apache Httpd, Apache Traffic Server et le codec HTTP/2 d'Envoy. L'exploitation de cette vulnérabilité peut entraîner des attaques par déni de service (DoS) contre les serveurs utilisant des implémentations vulnérables. Il est essentiel de noter que l'analyse du trafic malveillant entrant exploitant cette vulnérabilité peut s'avérer difficile car la requête HTTP n'est pas correctement terminée, nécessitant une analyse de trafic HTTP brute pour identifier une attaque.