8個新的HTTP/2實施缺陷使網站面臨DoS攻擊
責編:gltian |2019-08-20 15:22:40HTTP/2(最新版本的HTTP網絡協議)的各種實施都容易受到影響最流行的Web服務器軟件(包括Apache、Microsoft的IIS和nginx)的多個安全漏洞的攻擊。
HTTP/2于2015年5月發布,旨在通過加快頁面加載速度,提高安全性和在線體驗。今天,超過數億個網站,或者說互聯網上所有網站的40%都使用HTTP/2協議運行。
Netflix的Jonathan Looney和Google的Piotr Sikora共發現了8個高嚴重性HTTP/2漏洞,其中7個漏洞是在處理惡意輸入時由于資源耗盡而存在的,這使得客戶機超載了服務器的隊列管理代碼。
可以利用這些漏洞對數百萬在線服務和運行在Web服務器上的網站發起拒絕服務(DoS)攻擊,這些服務和網站的HTTP/2實施存在漏洞,使每個人都無法使用。
用外行的話說,攻擊場景是惡意客戶機要求目標易受攻擊的服務器做一些生成響應的事情,但客戶機拒絕讀取響應,迫使其在處理請求時消耗過多的內存和CPU。
“這些缺陷允許少量的低帶寬惡意會話,以防止連接參與者做額外的工作。這些攻擊可能會耗盡資源,使同一臺機器上的其他連接或進程也可能受到影響或崩潰,”Netflix在周二發布的一份公告中解釋說。
以下列出的大多數漏洞都在HTTP/2傳輸層工作:
- CVE-2019-9511 — HTTP/2 “Data Dribble”
- CVE-2019-9512 — HTTP/2 “Ping Flood”
- CVE-2019-9513 — HTTP/2 “Resource Loop”
- CVE-2019-9514 — HTTP/2 “Reset Flood”
- CVE-2019-9515 — HTTP/2 “Settings Flood”
- CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
- CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
- CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”
“有些服務器的效率足以使單端系統可能對多臺服務器造成破壞。其他攻擊效率較低;但即使效率較低的攻擊也可能為難以檢測和阻止的ddos攻擊打開大門,”咨詢公司表示。
無論如何,我們應該注意的是,這些漏洞只能用于造成DoS情況,并且不允許攻擊者破壞脆弱服務器中包含的數據的機密性或完整性。
Netflix安全團隊與谷歌和CERT協調中心合作,披露所報告的HTTP/2缺陷,在2019年5月發現了多個HTTP/2服務器實施中八分之七的漏洞,并負責向每個受影響的供應商和維護人員報告。
據CERT稱,受影響的供應商包括nginx、apache、h2o、nghttp2、Microsoft(IIS)、CloudFlare、Akamai、Apple(Swiftnio)、Amazon、Facebook(proxygen)、node.js和特使代理,其中許多已經發布了安全補丁和建議。