Назад | Перейти на главную страницу

Клиент подключается к Cloudfront через HTTP2, а затем подключается к серверу Apache через HTTP1. Можно ли использовать уязвимости HTTP2 в соединении HTTP1?

У нас есть среда, в которой клиенты подключаются к раздаче Cloudfront через HTTP2, а затем из дистрибутива Cloudfront к веб-серверу Apache через соединение HTTP1.

[ client ] ---(https, http/2)--> [ cloudfront ] ---(http, http/1--> [ web server ]

20 августа Apache выпустил обновление (2.4.41) для исправления уязвимостей, касающихся соединений http2. https://httpd.apache.org/security/vulnerabilities_24.html

Мне было интересно, будет ли необходимо рассмотреть возможность обновления наших веб-серверов, если эти уязвимости могут быть использованы с помощью подключения HTTP / 2 к Cloudfront, которое становится HTTP / 1 при обращении к веб-серверу.

Если я совершенно не понимаю природу HTTP / 2 и HTTP / 1 и то, как они взаимодействуют с Cloudfront, сообщите мне, и где я могу прочитать, чтобы узнать больше об этом.