发布日期：2020-06-03
更新日期：2020-08-25

受影响系统：

Nghttp2  <1.41.0

描述：

---

CVE(CAN) ID: CVE-2020-11080

Nghttp2是一个用于实现HTTP/2的C库。
Nghttp2 1.41.0之前版本存在拒绝服务漏洞。该漏洞源于HTTP / 2会话框架中的错误，即默认情况下其限制为32个设置。攻击者可利用该漏洞借助恶意的客户端构建14,400字节长度的SETTINGS帧造成载荷过大，导致拒绝服务。



<*来源：Red Hat
  *>

建议：

---

厂商补丁：

Nghttp2
-------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/nghttp2/nghttp2/security/advisories/GHSA-q5wr-xfw9-q7xr

浏览次数：837
严重程度：0（网友投票）