La deuxième version du protocole HTTP est une autre version des versions de ce protocole, qui a été lancé en mai 2015, où l'avantage d'être plus protectrice de la version 1.1, mais cela ne l'empêche pas l'ajustement sur les failles de sécurité et c'est ce qui a été découvert par des chercheurs de la sécurité informatique de la société Impreva, ils ont découvert plusieurs failles de sécurité permettent à un attaquant de ralentir le processus de traitement sur le serveur Web en envoyant un grand nombre de commandes pourrait atteindre des dizaines de GO en taille, ce qui conduit à cesser de fonctionner les serveurs web.
Ces vulnérabilités infectent toutes les versions de serveurs Web qui traitent cette version du protocole http(HTTP 2), telles que Apache, IIS, Nginx,.. .
-La première vulnérabilité est identifier par CVE-2016-1546 , qui conduisent à la réponse lente du serveur web , est similaire à une attaque DDoS Slowloris connu qui touche les serveurs Apache
-CVE-2016-1544 et CVE-2016-2525 causée par l'une des couches de ce protocole, qui a appelé HPACK où l'utilisation de cette couche permet de réduire le volume de données on les compressées, où un pirate utilisant cette faille pour envoyer des données compressées semble à une petit taille, mais lorsque le serveur essai de décompressé ces données pour les traités peuvent contenir une grande quantité de données allons jusqu'à plusieurs Gigabit.
-CVE-2015-8659 permettre à un attaquant à la demande de faire une attaque DoS interne sur le même serveur, conduisant à son incapacité à répondre à toutes les nouvelles demandes envoyées.
- CVE-2016-0150 permet également au pirate de lancer une attaque DoS.
Les chercheurs de la sécurité informatique ont rapporté ces vulnérabilité qui ont été fermées par la suite. Où il est dit que cette version du protocole HTTP utilisé par plus de 9% de serveurs web sur Internet.
