Leider wurde mal wieder eine HTTP/2 Bombing Variante gefunden mit der man Server lahm legen kann.
New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare
HTTP/2 Bomb exploits HPACK and flow control; a single client can hold 32GB memory in 20 seconds, causing server outages.
thehackernews.com
Im Falle von Apache httpd gibt es zumindest das mod_h2 Modul bereits in gefixter Version
Releases · icing/mod_h2
HTTP/2 module for Apache httpd. Contribute to icing/mod_h2 development by creating an account on GitHub.
github.com