網絡安全研究員 Bartek Nowotarski 于 1 月 25 日報告，發現 HTTP / 2 協議中存在一個高危漏洞，黑客利用該漏洞可以發起拒絕服務(DoS)攻擊。

　　Nowotarski 于 1 月 25 日向卡內基梅隆大學計算機應急小組(CERT)協調中心報告了這個發現，該漏洞被命名為“HTTP / 2 CONTINUATION Flood”。

　　該漏洞主要利用 HTTP / 2 的配置不當實現，主要是未能限制或凈化請求數據流中的 CONTINUATION 幀。

　　CONTINUATION 幀是一種用于延續報頭塊片段序列的方法，允許在多個幀中分割報頭塊(header block)。

　　當服務器收到一個特定的 END_HEADERS 標志，表明沒有其他 CONTINUATION 或其他幀時，先前分割的報頭塊就被視為已完成。

　　如果 HTTP / 2 實現不限制單個數據流中可發送的 CONTINUATION 幀的數量，就很容易受到攻擊。如果攻擊者開始向未設置 END_HEADERS 標志的易受攻擊服務器發送 HTTP 請求，該請求將允許攻擊者向該服務器持續發送 CONTINUATION 幀流，最終導致服務器內存不足而崩潰，并導致成功發起拒絕服務 (DoS) 攻擊。

　　HTTP / 2(原名 HTTP 2.0)即超文本傳輸協議第二版，使用于萬維網。HTTP / 2 主要基于 SPDY 協議，通過對 HTTP 頭字段進行數據壓縮、對數據傳輸采用多路復用和增加服務端推送等舉措，來減少網絡延遲，提高客戶端的頁面加載速度。