一、 漏洞 CVE-2016-6581 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
使用任何Python HPACK库版本在v1.0.0和v2.2.0之间构建的HTTP/2实现可能会被攻击者用于拒绝服务攻击,特别是所谓的“HPACK炸弹”攻击。攻击者会在动态头表中插入一个大小等于HPACK动态头表的头部字段。然后,攻击者可以发送一个重复请求的头部块来扩展动态表中的该字段。这可能导致巨大的压缩比率,例如4,096或更高,这意味着16KB的数据可以在目标机器上解压缩到64MB的数据。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A HTTP/2 implementation built using any version of the Python HPACK library between v1.0.0 and v2.2.0 could be targeted for a denial of service attack, specifically a so-called "HPACK Bomb" attack. This attack occurs when an attacker inserts a header field that is exactly the size of the HPACK dynamic header table into the dynamic header table. The attacker can then send a header block that is simply repeated requests to expand that field in the dynamic table. This can lead to a gigantic compression ratio of 4,096 or better, meaning that 16kB of data can decompress to 64MB of data on the target machine.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Python HPACK 拒绝服务漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python HPACK是其中的一个用于实现Python HTTP /2头编码的模块。 Python HPACK library 1.0.0和2.2.0版本的HTTP/2实现过程中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-6581 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-6581 的情报信息