Хакер #305. Многошаговые SQL-инъекции
ИБ-специалисты компаний Google и Netflix обнаружили восемь уязвимостей в составе различных имплементаций протокола HTTP/2. Атаки на эти уязвимости могут приводить к отказу в обслуживании на непропатченных серверах.
Учитывая, что по статистике W3Techs, примерно 40% всех сайтов используют серверы с поддержкой HTTP/2, проблема действительно серьезная. Хуже того, CERT предупреждает, что уязвимости затрагивают инфраструктуру таких гигантов, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu.
Все обнаруженные проблемы, по сути, являются разновидностями одной и той же атаки, когда клиент злоумышленника связывается с сервером, чтобы заставить его генерировать ответы. При этом клиент отказывается читать ответы, что приводит к непрерывному заполнению очереди буферизации ответов на стороне сервера. Так как очередь не обрабатывается должным образом, сервер в итоге начинает потреблять чрезмерное количество памяти и ресурсов CPU. В конечном итоге это приводит к отказу в обслуживании, то есть сервер перестает отвечать на запросы и лишает посетителей доступа к веб-страницам. В менее серьезных случаях загрузка страниц занимает больше времени, чем обычно.
Уязвимостям были присвоены идентификаторы CVE: CVE-2019-9511 (Data Dribble), CVE-2019-9512 (Ping Flood), CVE-2019-9513 (Resource Loop), CVE-2019-9514 (Reset Flood), CVE-2019-9515 (Settings Flood), CVE-2019-9516 (0-Length Headers Leak), CVE-2019-9517 (Internal Data Buffering), CVE-2019-9518 (Empty Frames Flood).
Разработчики Cloudflare уже анонсировали выпуск исправлений для семи уязвимостей, которые затрагивают серверы Nginx. Хуже того, в компании сообщили изданию Bleeping Computer, что злоумышленники уже пытаются использовать свежие баги, и Cloudflare удалось обнаружить и ослабить несколько атак.
Microsoft тоже выпустила патчи для исправления пяти (1, 2, 3, 4, 5) уязвимостей, влияющих на стек HTTP/2 (HTTP.sys).
Nginx обновил основную версию до 1.17.3 и сообщает об исправлении трех DoS-уязвимостей. Стабильная ветка также была обновлена до 1.16.1.
Apple выпустила патчи для платформы SwiftNIO, устранив пять проблем, которые могли повлиять на macOS, начиная с версии Sierra 10.12.