Новости Страшнее, чем «Rapid Reset»: в протоколе HTTPS/2 выявлена новая фундаментальная уязвимость

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
«CONTINUATION Flood» позволяет проводить мощнейшие DoS-атаки.


q2d39et7f2x6ztcq0hfvo06jedq4085l.jpg


Новая уязвимость в протоколе HTTP/2 может быть использована для проведения атак типа «отказ в обслуживании» ( DoS ). Открытие, получившее название «HTTP/2 CONTINUATION Flood», принадлежит исследователю в области кибербезопасности Бартеку Новотарски, который сообщил о проблеме Центру координации CERT 25 января 2024 года.

В Для просмотра ссылки Войди или Зарегистрируйся от 3 апреля указано, что многие реализации HTTP/2 некорректно обрабатывают большое количество фреймов CONTINUATION, отправляемых в рамках одного потока.

Фреймы CONTINUATION в HTTP/2 используются для передачи фрагментов блоков заголовков. Последний фрейм содержит флаг END_HEADERS, указывающий на конец блока. Однако злоумышленник может инициировать новый поток HTTP/2 против уязвимого сервера и отправлять фреймы HEADERS и CONTINUATION без установленного флага END_HEADERS, создавая бесконечный поток заголовков, который сервер будет вынужден обрабатывать и хранить в памяти. Всё это может привести к переполнению памяти сервера и, как следствие, его аварийному завершению работы.

«CONTINUATION Flood» считается более серьёзной угрозой по сравнению с атакой Для просмотра ссылки Войди или Зарегистрируйся о которой стало известно в октябре 2023 года. По словам Новотарски, одна машина, а в некоторых случаях даже одно TCP-соединение или несколько фреймов, способны полностью нарушить доступность сервера. Примечательно, что запросы, составляющие атаку, не видны в журналах доступа HTTP, что затрудняет их обнаружение.

Уязвимость затрагивает множество проектов, среди которых amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, Node.js и Tempesta FW. Разработчики этих проектов уже опубликовали обновления, направленные на устранение уязвимости.

В качестве временного решения рекомендуется отключить поддержку HTTP/2 на сервере, пока не будет применено соответствующее обновление. Это мера предосторожности поможет избежать потенциальных атак и сохранить стабильность работы серверов.
 
Источник новости
www.securitylab.ru

Похожие темы