此套件中的 http2 伺服器支援容易受到某些類型的 DOS 攻擊。

CVE-2019-9512

此程式碼容易受到 ping 氾濫問題影響，可能導致拒絕服務。攻擊者會傳送連續的 ping 到 HTTP/2 對等端，造成對等端建構內部的回應佇列。
根據此資料的佇列效率而定，此狀況可消耗過多 CPU、記憶體或兩者。

CVE-2019-9514

此程式碼容易受到重設氾濫問題影響，可能導致拒絕服務。攻擊者會開啟多個資料流，並透過每個資料流傳送應該從對等端請求 RST_STREAM 框架資料流的無效請求。根據對等端佇列 RST_STREAM 框架的方式而定，這可能會消耗過量的記憶體、CPU 或兩者。

針對 Debian 9 Stretch，已在 1:0.0+git20161013.8b4af36+dfsg-3+deb9u1 版本中修正這些問題。

建議您升級 golang-golang-x-net-dev 套件。

如需有關 golang-golang-x-net-dev 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/golang-golang-x-net-dev

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2485-1：golang-golang-x-net-dev 安全性更新 (Ping 氾濫) (重設氾濫)

high Nessus Plugin ID 143594

版本 1.5