ΠΠ·ΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»ΠΈ ΠΎΡ Netflix ΠΈ Google
ΠΡΠΎΠ±Π»Π΅ΠΌΠΈΡΠ΅ ΡΠ° ΡΠ΅Π·ΡΠ»ΡΠ°Ρ ΠΎΡ ΡΡΠ»ΠΎΠΆΠ½Π΅Π½ΠΈΡ, Π²ΡΠ²Π΅Π΄Π΅Π½ΠΈ Π² ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π° HTTP/2, ΡΠ²ΡΡΠ·Π°Π½ΠΈ Ρ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ΡΠΎ Π½Π° Π΄Π²ΠΎΠΈΡΠ½ΠΈ ΡΡΡΡΠΊΡΡΡΠΈ, ΡΠΈΡΡΠ΅ΠΌΠ° Π·Π° ΠΎΠ³ΡΠ°Π½ΠΈΡΠ°Π²Π°Π½Π΅ Π½Π° ΠΏΠΎΡΠΎΡΠΈΡΠ΅ ΠΎΡ Π΄Π°Π½Π½ΠΈ Π² ΡΠ°ΠΌΠΊΠΈΡΠ΅ Π½Π° Π²ΡΡΠ·ΠΊΠΈΡΠ΅, ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΡΠΌ Π·Π° ΠΏΡΠΈΠΎΡΠΈΡΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΠΎΡΠΎΠΊΠ° ΠΈ Π½Π°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΈ Π½Π° ICMP ΠΊΠΎΠ½ΡΡΠΎΠ»Π½ΠΈ ΡΡΠΎΠ±ΡΠ΅Π½ΠΈΡ, ΡΠ°Π±ΠΎΡΠ΅ΡΠΈ ΠΏΡΠΈ HTTP/2 Π²ΡΡΠ·ΠΊΠ° Π½ΠΈΠ²ΠΎ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ Π·Π° ΠΏΠΈΠ½Π³, Π½ΡΠ»ΠΈΡΠ°Π½Π΅ ΠΈ ΠΏΠΎΡΠΎΠΊ). ΠΠ½ΠΎΠ³ΠΎ ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π΅ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ°Π²Π°Ρ Π° ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΠΏΠΎΡΠΎΠΊΠ° ΠΎΡ ΠΊΠΎΠ½ΡΡΠΎΠ»Π½ΠΈ ΡΡΠΎΠ±ΡΠ΅Π½ΠΈΡ, Π½Π΅ ΡΠΏΡΠ°Π²Π»ΡΠ²Π°Ρ Π° Π΅ΡΠ΅ΠΊΡΠΈΠ²Π½ΠΎ ΠΎΠΏΠ°ΡΠΊΠ°ΡΠ° Ρ ΠΏΡΠΈΠΎΡΠΈΡΠ΅ΡΠΈ ΠΏΡΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° Π·Π°ΡΠ²ΠΊΠΈ ΠΈΠ»ΠΈ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π° Π½Π΅ΠΎΠΏΡΠΈΠΌΠ°Π»Π½ΠΈ ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° Π°Π»Π³ΠΎΡΠΈΡΠΌΠΈ Π·Π° ΠΊΠΎΠ½ΡΡΠΎΠ» Π½Π° ΠΏΠΎΡΠΎΠΊΠ°.
ΠΠΎΠ²Π΅ΡΠ΅ΡΠΎ ΠΎΡ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈΡΠ΅ ΠΌΠ΅ΡΠΎΠ΄ΠΈ Π·Π° Π°ΡΠ°ΠΊΠ° ΡΠ΅ ΡΠ²Π΅ΠΆΠ΄Π°Ρ Π΄ΠΎ ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈ Π·Π°ΡΠ²ΠΊΠΈ ΠΊΡΠΌ ΡΡΡΠ²ΡΡΠ°, ΠΊΠΎΠ΅ΡΠΎ Π²ΠΎΠ΄ΠΈ Π΄ΠΎ Π³Π΅Π½Π΅ΡΠΈΡΠ°Π½Π΅ Π½Π° Π³ΠΎΠ»ΡΠΌ Π±ΡΠΎΠΉ ΠΎΡΠ³ΠΎΠ²ΠΎΡΠΈ. ΠΠΊΠΎ ΠΊΠ»ΠΈΠ΅Π½ΡΡΡ Π½Π΅ ΡΠ΅ΡΠ΅ Π΄Π°Π½Π½ΠΈ ΠΎΡ ΡΠΎΠΊΠ΅ΡΠ° ΠΈ Π½Π΅ Π·Π°ΡΠ²Π°ΡΡ Π²ΡΡΠ·ΠΊΠ°ΡΠ°, ΠΎΠΏΠ°ΡΠΊΠ°ΡΠ° Π·Π° Π±ΡΡΠ΅ΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΎΡΠ³ΠΎΠ²ΠΎΡ ΠΎΡ ΡΡΡΠ°Π½Π°ΡΠ° Π½Π° ΡΡΡΠ²ΡΡΠ° Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠΎ ΡΠ΅ Π·Π°ΠΏΡΠ»Π²Π°. Π’ΠΎΠ²Π° ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΡΡΠ·Π΄Π°Π²Π° Π½Π°ΡΠΎΠ²Π°ΡΠ²Π°Π½Π΅ Π²ΡΡΡ Ρ ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠ° Π·Π° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π½Π° ΠΎΠΏΠ°ΡΠΊΠ° Π·Π° ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° ΠΌΡΠ΅ΠΆΠΎΠ²ΠΈ Π²ΡΡΠ·ΠΊΠΈ ΠΈ, Π² Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡ ΠΎΡ Ρ Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈΡΠ΅ Π½Π° ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅, Π²ΠΎΠ΄ΠΈ Π΄ΠΎ ΠΈΠ·ΡΠ΅ΡΠΏΠ²Π°Π½Π΅ Π½Π° Π½Π°Π»ΠΈΡΠ½Π°ΡΠ° ΠΏΠ°ΠΌΠ΅Ρ ΠΈΠ»ΠΈ ΡΠ΅ΡΡΡΡΠΈ Π½Π° ΠΏΡΠΎΡΠ΅ΡΠΎΡΠ°.
ΠΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:
- CVE-2019-9511 (Data Dribble) - Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π» ΠΈΠ·ΠΈΡΠΊΠ²Π° Π³ΠΎΠ»ΡΠΌΠΎ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²ΠΎ Π΄Π°Π½Π½ΠΈ Π² ΠΌΠ½ΠΎΠΆΠ΅ΡΡΠ²ΠΎ Π½ΠΈΡΠΊΠΈ ΡΡΠ΅Π· ΠΌΠ°Π½ΠΈΠΏΡΠ»ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠ°Π·ΠΌΠ΅ΡΠ° Π½Π° ΠΏΠ»ΡΠ·Π³Π°ΡΠΈΡ ΡΠ΅ ΠΏΡΠΎΠ·ΠΎΡΠ΅Ρ ΠΈ ΠΏΡΠΈΠΎΡΠΈΡΠ΅ΡΠ° Π½Π° Π½ΠΈΡΠΊΠ°ΡΠ°, ΠΏΡΠΈΠ½ΡΠΆΠ΄Π°Π²Π°ΠΉΠΊΠΈ ΡΡΡΠ²ΡΡΠ° Π΄Π° ΠΏΠΎΡΡΠ°Π²ΠΈ Π΄Π°Π½Π½ΠΈΡΠ΅ Π½Π° ΠΎΠΏΠ°ΡΠΊΠ° Π² 1-Π±Π°ΠΉΡΠΎΠ²ΠΈ Π±Π»ΠΎΠΊΠΎΠ²Π΅;
- CVE-2019-9512 (Ping Flood) - Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π» Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠΎ ΠΎΡΡΠ°Π²Ρ ping ΡΡΠΎΠ±ΡΠ΅Π½ΠΈΡ ΠΏΡΠ΅Π· HTTP/2 Π²ΡΡΠ·ΠΊΠ°, ΠΏΡΠΈΡΠΈΠ½ΡΠ²Π°ΠΉΠΊΠΈ Π½Π°Π²ΠΎΠ΄Π½ΡΠ²Π°Π½Π΅ Π½Π° Π²ΡΡΡΠ΅ΡΠ½Π°ΡΠ° ΠΎΠΏΠ°ΡΠΊΠ° ΠΎΡ ΠΈΠ·ΠΏΡΠ°ΡΠ΅Π½ΠΈ ΠΎΡΠ³ΠΎΠ²ΠΎΡΠΈ ΠΎΡ Π΄ΡΡΠ³Π°ΡΠ° ΡΡΡΠ°Π½Π°;
- CVE-2019-9513 (Resource Loop) - Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡΡ ΡΡΠ·Π΄Π°Π²Π° ΠΌΠ½ΠΎΠΆΠ΅ΡΡΠ²ΠΎ Π½ΠΈΡΠΊΠΈ Π½Π° Π·Π°ΡΠ²ΠΊΠΈ ΠΈ Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠΎ ΠΏΡΠΎΠΌΠ΅Π½Ρ ΠΏΡΠΈΠΎΡΠΈΡΠ΅ΡΠ° Π½Π° Π½ΠΈΡΠΊΠΈΡΠ΅, ΠΊΠΎΠ΅ΡΠΎ Π²ΠΎΠ΄ΠΈ Π΄ΠΎ ΡΠ°Π·Π±ΡΡΠΊΠ²Π°Π½Π΅ Π½Π° Π΄ΡΡΠ²ΠΎΡΠΎ Π½Π° ΠΏΡΠΈΠΎΡΠΈΡΠ΅ΡΠΈΡΠ΅;
- CVE-2019-9514 (Reset Flood) - Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π» ΡΡΠ·Π΄Π°Π²Π° ΠΌΠ½ΠΎΠΆΠ΅ΡΡΠ²ΠΎ Π½ΠΈΡΠΊΠΈ
ΠΈ ΠΈΠ·ΠΏΡΠ°ΡΠ° Π½Π΅Π²Π°Π»ΠΈΠ΄Π½Π° Π·Π°ΡΠ²ΠΊΠ° ΠΏΡΠ΅Π· Π²ΡΡΠΊΠ° Π½ΠΈΡΠΊΠ°, ΠΊΠ°ΡΠ°ΠΉΠΊΠΈ ΡΡΡΠ²ΡΡΠ° Π΄Π° ΠΈΠ·ΠΏΡΠ°ΡΠΈ RST_STREAM ΠΊΠ°Π΄ΡΠΈ, Π½ΠΎ Π½Π΅ Π³ΠΈ ΠΏΡΠΈΠ΅ΠΌΠ°, Π·Π° Π΄Π° Π·Π°ΠΏΡΠ»Π½ΠΈ ΠΎΠΏΠ°ΡΠΊΠ°ΡΠ° Π·Π° ΠΎΡΠ³ΠΎΠ²ΠΎΡ; - CVE-2019-9515 (Settings Flood) - Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π»ΡΡ ΠΈΠ·ΠΏΡΠ°ΡΠ° ΠΏΠΎΡΠΎΠΊ ΠΎΡ ΠΏΡΠ°Π·Π½ΠΈ ΡΠ°ΠΌΠΊΠΈ βΠΠΠ‘Π’Π ΠΠΠΠβ, Π² ΠΎΡΠ³ΠΎΠ²ΠΎΡ Π½Π° ΠΊΠΎΠΈΡΠΎ ΡΡΡΠ²ΡΡΡΡ ΡΡΡΠ±Π²Π° Π΄Π° ΠΏΠΎΡΠ²ΡΡΠ΄ΠΈ ΠΏΠΎΠ»ΡΡΠ°Π²Π°Π½Π΅ΡΠΎ Π½Π° Π²ΡΡΠΊΠ° Π·Π°ΡΠ²ΠΊΠ°;
- CVE-2019-9516 (0-Length Headers Leak) β Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡΡ ΠΈΠ·ΠΏΡΠ°ΡΠ° ΠΏΠΎΡΠΎΠΊ ΠΎΡ Π·Π°Π³Π»Π°Π²ΠΊΠΈ Ρ Π½ΡΠ»Π΅Π²ΠΎ ΠΈΠΌΠ΅ ΠΈ Π½ΡΠ»Π΅Π²Π° ΡΡΠΎΠΉΠ½ΠΎΡΡ ΠΈ ΡΡΡΠ²ΡΡΡΡ ΡΠ°Π·ΠΏΡΠ΅Π΄Π΅Π»Ρ Π±ΡΡΠ΅Ρ Π² ΠΏΠ°ΠΌΠ΅ΡΡΠ° Π·Π° ΡΡΡ ΡΠ°Π½ΡΠ²Π°Π½Π΅ Π½Π° Π²ΡΠ΅ΠΊΠΈ Ρ Π΅Π΄ΡΡ ΠΈ Π½Π΅ Π³ΠΎ ΠΎΡΠ²ΠΎΠ±ΠΎΠΆΠ΄Π°Π²Π°, Π΄ΠΎΠΊΠ°ΡΠΎ ΡΠ΅ΡΠΈΡΡΠ° Π½Π΅ ΠΏΡΠΈΠΊΠ»ΡΡΠΈ ;
- CVE-2019-9517 (ΠΡΡΡΠ΅ΡΠ½ΠΎ Π±ΡΡΠ΅ΡΠΈΡΠ°Π½Π΅ Π½Π° Π΄Π°Π½Π½ΠΈ) - Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡΡ ΡΠ΅ ΠΎΡΠ²Π°ΡΡ
HTTP/2 ΠΏΠ»ΡΠ·Π³Π°Ρ ΡΠ΅ ΠΏΡΠΎΠ·ΠΎΡΠ΅Ρ Π·Π° ΡΡΡΠ²ΡΡΠ°, Π·Π° Π΄Π° ΠΈΠ·ΠΏΡΠ°ΡΠ° Π΄Π°Π½Π½ΠΈ Π±Π΅Π· ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ, Π½ΠΎ Π΄ΡΡΠΆΠΈ TCP ΠΏΡΠΎΠ·ΠΎΡΠ΅ΡΠ° Π·Π°ΡΠ²ΠΎΡΠ΅Π½, ΠΏΡΠ΅Π΄ΠΎΡΠ²ΡΠ°ΡΡΠ²Π°ΠΉΠΊΠΈ Π΄Π΅ΠΉΡΡΠ²ΠΈΡΠ΅Π»Π½ΠΎΡΠΎ Π·Π°ΠΏΠΈΡΠ²Π°Π½Π΅ Π½Π° Π΄Π°Π½Π½ΠΈ Π² ΡΠΎΠΊΠ΅ΡΠ°. Π‘Π»Π΅Π΄ ΡΠΎΠ²Π° Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π»ΡΡ ΠΈΠ·ΠΏΡΠ°ΡΠ° Π·Π°ΡΠ²ΠΊΠΈ, ΠΊΠΎΠΈΡΠΎ ΠΈΠ·ΠΈΡΠΊΠ²Π°Ρ Π³ΠΎΠ»ΡΠΌ ΠΎΡΠ³ΠΎΠ²ΠΎΡ; - CVE-2019-9518 (ΠΠ°Π²ΠΎΠ΄Π½ΡΠ²Π°Π½Π΅ Π½Π° ΠΏΡΠ°Π·Π½ΠΈ ΡΠ°ΠΌΠΊΠΈ) β Π₯Π°ΠΊΠ΅Ρ ΠΈΠ·ΠΏΡΠ°ΡΠ° ΠΏΠΎΡΠΎΠΊ ΠΎΡ ΡΠ°ΠΌΠΊΠΈ ΠΎΡ ΡΠΈΠΏ DATA, HEADERS, CONTINUATION ΠΈΠ»ΠΈ PUSH_PROMISE, Π½ΠΎ Ρ ΠΏΡΠ°Π·Π΅Π½ ΠΏΠΎΠ»Π΅Π·Π΅Π½ ΡΠΎΠ²Π°Ρ ΠΈ Π±Π΅Π· ΡΠ»Π°Π³ Π·Π° ΠΏΡΠ΅ΠΊΡΡΠ²Π°Π½Π΅ Π½Π° ΠΏΠΎΡΠΎΠΊΠ°. Π‘ΡΡΠ²ΡΡΡΡ ΠΏΡΠ΅ΠΊΠ°ΡΠ²Π° Π²ΡΠ΅ΠΌΠ΅ Π·Π° ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° Π²ΡΠ΅ΠΊΠΈ ΠΊΠ°Π΄ΡΡ, Π½Π΅ΠΏΡΠΎΠΏΠΎΡΡΠΈΠΎΠ½Π°Π»Π½ΠΎ Π½Π° ΡΠ΅ΡΡΠΎΡΠ½Π°ΡΠ° Π»Π΅Π½ΡΠ°, ΠΊΠΎΠ½ΡΡΠΌΠΈΡΠ°Π½Π° ΠΎΡ Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π»Ρ.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru