У реалізаціях HTTP / 2 виявлені небезпечні DoS-уразливості

13:21
У реалізаціях HTTP / 2 виявлені небезпечні DoS-уразливості

     Дослідники з Netflix і Google виявили ряд вразливостей в кількох реалізаціях протоколу HTTP / 2. Експлуатація вразливостей дозволяє зловмисникам викликати відмову в обслуговуванні на неоновлених серверах.

   Проблеми зачіпають сервери, що підтримують HTTP / 2. Згідно зі статистикою W3Techs, це становить 40,0% від усіх web-сайтів в інтернеті.
Всього було виявлено вісім вразливостей, які можуть бути проексплуатувати віддалено. За словами дослідників, всі вектори атак є варіаціями однієї і тієї ж схеми, коли клієнт провокує відповідь з уразливого сервера, а потім відмовляється його прочитати. Залежно від можливості сервера управляти чергами, клієнт здатний використовувати його надмірну пам'ять і ЦП для обробки вхідних запитів.
     Вразливостям були присвоєні такі CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 і CVE- 2019-9518. Їх експлуатація дозволяє атакуючому запитувати величезну кількість даних за кількома потоками, відправляти тривалі пінги HTTP/2 і потоки фреймів або заголовків без імен і значень на вразливий сервер. Залежно від того, як дані будуть ставати в чергу і споживати надлишкові ресурси ЦП, це може привести до відмови в обслуговуванні.
    Як повідомляє координаційний центр CERT, уразливості зачіпають продукти таких постачальників, як Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js і Ubuntu. Деякі компанії вже виправили виявлені проблеми, а також зафіксували кілька безуспішних атак зловмисників.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.