Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

В реализациях HTTP/2 обнаружены опасные DoS-уязвимости

14/08/19

hack56-4Исследователи из Netflix и Google обнаружили ряд уязвимостей в нескольких реализациях протокола HTTP/2. Эксплуатация уязвимостей позволяет злоумышленникам вызвать отказ в обслуживании на необновленных серверах.

Проблемы затрагивают серверы, поддерживающие HTTP/2. Согласно статистике W3Techs, это составляет 40,0% от всех web-сайтов в интернете.

Всего было обнаружено восемь уязвимостей, которые могут быть проэксплуатированы удаленно. По словам исследователей, все векторы атак являются вариациями одной и той же схемы, когда клиент провоцирует ответ с уязвимого сервера, а затем отказывается его прочитать. В зависимости от возможности сервера управлять очередями, клиент способен использовать его чрезмерную память и ЦП для обработки входящих запросов.

Уязвимостям были присвоены следующие CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 и CVE-2019-9518. Их эксплуатация позволяет атакующему запрашивать огромное количество данных по нескольким потокам, отправлять продолжительные пинги HTTP/2-пиру и потоки фреймов или заголовков без имен и значений на уязвимый сервер. В зависимости от того, как данные будут становиться в очередь и потреблять избыточные ресурсы ЦП, это может привести отказу в обслуживании.

Как сообщает координационный центр CERT, уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu. Некоторые компании уже исправили обнаруженные проблема, а также зафиксировали несколько безуспешных атак злоумышленников.

Темы:GoogleУгрозыHTTP/2DoS
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...