Flera implementationer av protokollet http/2 är sårbara för attacker som kan skapa ddos-liknande problem på de webbservrar som stödjer http/2, vilka uppgår till 40 procent av alla webbservrar på internet enligt statistik från W3Techs, skriver Bleeping Computer.

De buggar som orsakar sårbarheten är åtta till antalet och är alla närbesläktade, men vissa är värre än andra och kan triggas på distans av klienterna. En enda klient kan i värsta fall utlösa sårbarheterna på flera servrar.

Alla sårbarheterna går ut på att en klient orsakar ett svar från servern och klienten vägrar sedan i sin tur att svara. Beroende på hur server-implementationerna hanterar köer kan klienten tvinga servern att använda överdrivet mycket processorkapacitet och/eller minne.

Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats

Sju av dessa sårbarheter upptäcktes av Jonathan Looney på Netflix och den åttonde av Piotr Sikora på Google. Enligt en artikel från CERT Coordination Center påverkar buggarna hela 233 olika webbserver-implementationer, bland andra Amazon, Apache, Apple, Facebook, Cloudflare, Microsoft, nginx, Node.js, och Ubuntu.

Många leverantörer har redan släppt buggfixar, däribland Cloudflare, Microsoft och Apple, men inte nödvändigtvis för alla åtta sårbarheter. Cloudflare har i skrivande stund släppt fixar för sju av sårbarheterna, Microsoft liksom Apple för fem av dem, Nginx för tre.

Sårbarheterna har tilldelats id-nummer från CVE-2019-9511 till CVE-2019-9518.

Läs också:
Så hittar du alla sårbarheter i din installation av Windows – och fixar dem
Windows IIS-servrar kan överbelastas med http/2