Chyby zabezpečení HTTP/2 vystavují servery útokům DoS

HTTP/2 transport layer

Výzkumníci společností Netflix a Google objevili celkem osm zranitelností typu DoS (Denial-of-Service), které ovlivňují různé implementace HTTP/2, včetně velkých technologických společností, jako jsou Amazon, Apple, Facebook a Microsoft. Podle Netflixu jsou tyto chyby spojeny s vyčerpáním zdrojů a mohou být využity ke spuštění DoS útoků proti serverům, které podporují HTTP/2.

HTTP/2 je revidovaná verze protokolu HTTP, která byla navržena, aby aplikace byly rychlejší, jednodušší a více robustní. Žádná z bezpečnostních děr, které výzkumníci společností Netflix a Google zjistili, neumožňuje útočníkovi získat nebo upravit chráněné informace.

„Jedná se spíše o malý počet škodlivých relací s malou šířkou pásma, aby připojení účastníci nemohli dále pracovat. Tyto útoky pravděpodobně vyčerpají zdroje, takže mohou být ovlivněna i jiná připojení nebo procesy na stejném počítači,“ uvádí Netflix v doporučení zveřejněném na GitHub.

Zranitelnosti pojmenovány následovně Data Dribble (CVE-2019-9511), Ping Flood (CVE-2019-9512), Resource Loop (CVE-2019-9513), Reset Flood (CVE-2019-9514), Settings Flood (CVE-2019-9515), 0-Length Headers Leak (CVE-2019-9516), Internal Data Buffering (CVE-2019-9517), a Empty Frames Flood (CVE-2019-9518). CVE-2019-9518 objevil Piotr Sikora z Googlu, ostatní zranitelnosti identifikoval Jonathan Looney z Netflixu.

Všechny chyby jsou variace stejného útoku, kdy se škodlivý klient spojí se serverem ve snaze přimět jej, aby vygeneroval odpověď. Klient však odmítá přečíst odpověď, která spustí kód správy front serveru. Pokud nebude fronta zpracována správně, může server skončit spotřebováním příliš velkého množství paměti a prostředků CPU, což může mít za následek odmítnutí služby (DoS).

Seznam dodavatelů, u nichž bylo potvrzeno ovlivnění, zahrnuje Amazon, Apple, Facebook a Microsoft. Intel a MicroTik nejsou ovlivněny a existuje seznam dalších 200 entit, pro které CERT/CC uvedl dopad jako „neznámý“.

Společnosti Microsoft, Apple, Cloudflare, NGINX a Akamai již vydaly opravy chyb. Pokud je to možné, mohou to uživatelé vyřešit tak, že na svých serverech zakáží podporu HTTP/2, podle Netflixu by však mohlo způsobit problémy s výkonem.

Zdroj: Securityweek

Související články

Leave a Comment