ІБ-дослідники Imperva виявили п'ять небезпечних вразливостей в новій версії HTTP-протоколу - HTTP / 2. Проаналізувавши реалізацію серверної частини HTTP / 2 від Apache, Microsoft, NGINX, Jetty і nghttp2, експерти зуміли виявити уразливості у всіх головних механізми HTTP / 2. Серед виявлених проломів виявилися дві уразливості, яким схильна версія HTTP / 1.

Одна з вразливостей (CVE-2016-1546) дозволяє зловмисникові використовувати шкідливий клієнт для дуже повільного читання відповідей, тим самим провокуючи відмову в обслуговуванні. Атакуючий здатний використовувати налаштування HTTP / 2 для мультиплексування великого кількість каналів через одне TCP-з'єднання. Незважаючи на те, що сервер підтримує одне TCP-з'єднання, він виділяє потік для кожного каналу, що може привести до споживання всіх доступних потоків на уразливому сервера.

Уразливість HPACK Bomb включає дві дірки (CVE-2016-1544, CVE-2016-2525), що дозволяють атакуючому створити невелике по виду повідомлення, яке насправді розпаковує гігабайти даних на стороні сервера. Зловмисник може спожити всі доступні ресурси на системі і викликати відмову в обслуговуванні.

Пролом CVE-2015-8659 впливає на механізми управління потоком, використовувані HTTP / 2 для оптимізації мережі. За допомогою спеціально сформованих запитів атакуючий може викликати зациклення додатка. Експлуатація уразливості дозволяє здійснити DoS-атаку або виконати довільний код на системі.

Уразливість CVE-2016-0150 пов'язана з мультиплексированием потоку, коли кілька сесій проходять через одне HTTP / 2-з'єднання. Так як поділ зв'язку є виключно логічним, атакуючий може скористатися цим для маніпулювання сервером. Експлуатація проломи дозволяє здійснити DoS-атаку.