8个新的HTTP/2实施缺陷使网站面临DoS攻击

HTTP/2（最新版本的HTTP网络协议）的各种实施都容易受到影响最流行的Web服务器软件（包括Apache、Microsoft的IIS和nginx）的多个安全漏洞的攻击。

HTTP/2于2015年5月发布，旨在通过加快页面加载速度，提高安全性和在线体验。今天，超过数亿个网站，或者说互联网上所有网站的40%都使用HTTP/2协议运行。

Netflix的Jonathan Looney和Google的Piotr Sikora共发现了8个高严重性HTTP/2漏洞，其中7个漏洞是在处理恶意输入时由于资源耗尽而存在的，这使得客户机超载了服务器的队列管理代码。

可以利用这些漏洞对数百万在线服务和运行在Web服务器上的网站发起拒绝服务（DoS）攻击，这些服务和网站的HTTP/2实施存在漏洞，使每个人都无法使用。

用外行的话说，攻击场景是恶意客户机要求目标易受攻击的服务器做一些生成响应的事情，但客户机拒绝读取响应，迫使其在处理请求时消耗过多的内存和CPU。

“这些缺陷允许少量的低带宽恶意会话，以防止连接参与者做额外的工作。这些攻击可能会耗尽资源，使同一台机器上的其他连接或进程也可能受到影响或崩溃，”Netflix在周二发布的一份公告中解释说。

以下列出的大多数漏洞都在HTTP/2传输层工作：

• CVE-2019-9511 — HTTP/2 “Data Dribble”
• CVE-2019-9512 — HTTP/2 “Ping Flood”
• CVE-2019-9513 — HTTP/2 “Resource Loop”
• CVE-2019-9514 — HTTP/2 “Reset Flood”
• CVE-2019-9515 — HTTP/2 “Settings Flood”
• CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
• CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
• CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

“有些服务器的效率足以使单端系统可能对多台服务器造成破坏。其他攻击效率较低；但即使效率较低的攻击也可能为难以检测和阻止的ddos攻击打开大门，”咨询公司表示。

无论如何，我们应该注意的是，这些漏洞只能用于造成DoS情况，并且不允许攻击者破坏脆弱服务器中包含的数据的机密性或完整性。

Netflix安全团队与谷歌和CERT协调中心合作，披露所报告的HTTP/2缺陷，在2019年5月发现了多个HTTP/2服务器实施中八分之七的漏洞，并负责向每个受影响的供应商和维护人员报告。

据CERT称，受影响的供应商包括nginx、apache、h2o、nghttp2、Microsoft（IIS）、CloudFlare、Akamai、Apple（Swiftnio）、Amazon、Facebook（proxygen）、node.js和特使代理，其中许多已经发布了安全补丁和建议。

原文链接：https://thehackernews.com/2019/08/bluetooth-knob-vulnerability.html

转载自安全加：http://toutiao.secjia.com/article/page?topid=111871