ИБ-специалисты компаний Google и Netflix обнаружили восемь уязвимостей в составе различных имплементаций протокола HTTP/2. Атаки на эти уязвимости могут приводить к отказу в обслуживании на непропатченных серверах.

Учитывая, что по статистике W3Techs, примерно 40% всех сайтов используют серверы с поддержкой HTTP/2, проблема действительно серьезная. Хуже того, CERT предупреждает, что уязвимости затрагивают инфраструктуру таких гигантов, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu.

Все обнаруженные проблемы, по сути, являются разновидностями одной и той же атаки, когда клиент злоумышленника связывается с сервером, чтобы заставить его генерировать ответы. При этом клиент отказывается читать ответы, что приводит к непрерывному заполнению очереди буферизации ответов на стороне сервера. Так как очередь не обрабатывается должным образом, сервер в итоге начинает потреблять чрезмерное количество памяти и ресурсов CPU. В конечном итоге это приводит к отказу в обслуживании, то есть сервер перестает отвечать на запросы и лишает посетителей доступа к веб-страницам. В менее серьезных случаях загрузка страниц занимает больше времени, чем обычно.

Уязвимостям были присвоены идентификаторы CVE: CVE-2019-9511 (Data Dribble), CVE-2019-9512 (Ping Flood), CVE-2019-9513 (Resource Loop), CVE-2019-9514 (Reset Flood), CVE-2019-9515 (Settings Flood), CVE-2019-9516 (0-Length Headers Leak), CVE-2019-9517 (Internal Data Buffering), CVE-2019-9518 (Empty Frames Flood).

Разработчики Cloudflare уже анонсировали выпуск исправлений для семи уязвимостей, которые затрагивают серверы Nginx. Хуже того, в компании сообщили изданию Bleeping Computer, что злоумышленники уже пытаются использовать свежие баги, и Cloudflare удалось обнаружить и ослабить несколько атак.

Microsoft тоже выпустила патчи для исправления пяти (12345) уязвимостей, влияющих на стек HTTP/2 (HTTP.sys).

Nginx обновил основную версию до 1.17.3 и сообщает об исправлении трех DoS-уязвимостей. Стабильная ветка также была обновлена до 1.16.1.

Apple выпустила патчи для платформы SwiftNIO, устранив пять проблем, которые могли повлиять на macOS, начиная с версии Sierra 10.12.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии