JoJosida

В реализациях HTTP/2 обнаружены опасные DoS-уязвимости ( 1 фото )


В реализациях HTTP/2 обнаружены опасные DoS-уязвимости Интернет и компьютеры,dos-атака,http,уязвимость

Уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu.

Исследователи из Netflix и Google обнаружили ряд уязвимостей в нескольких реализациях протокола HTTP/2. Эксплуатация уязвимостей позволяет злоумышленникам вызвать отказ в обслуживании на необновленных серверах.

Проблемы затрагивают серверы, поддерживающие HTTP/2. Согласно статистике W3Techs, это составляет 40,0% от всех web-сайтов в интернете.

Всего было обнаружено восемь уязвимостей, которые могут быть проэксплуатированы удаленно. По словам исследователей, все векторы атак являются вариациями одной и той же схемы, когда клиент провоцирует ответ с уязвимого сервера, а затем отказывается его прочитать. В зависимости от возможности сервера управлять очередями, клиент способен использовать его чрезмерную память и ЦП для обработки входящих запросов.

Уязвимостям были присвоены следующие CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 и CVE-2019-9518. Их эксплуатация позволяет атакующему запрашивать огромное количество данных по нескольким потокам, отправлять продолжительные пинги HTTP/2-пиру и потоки фреймов или заголовков без имен и значений на уязвимый сервер. В зависимости от того, как данные будут становиться в очередь и потреблять избыточные ресурсы ЦП, это может привести отказу в обслуживании.

Как сообщает координационный центр CERT, уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu. Некоторые компании уже исправили обнаруженные проблема, а также зафиксировали несколько безуспешных атак злоумышленников.

Материал взят: Тут

+1839
  • 0
  • 636
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno