Mga tigdukiduki gikan sa Netflix ug Google Adunay walo ka mga kahuyangan sa lain-laing mga pagpatuman sa HTTP/2 protocol nga mahimong hinungdan sa usa ka pagdumili sa serbisyo pinaagi sa pagpadala sa usa ka sapa sa mga hangyo sa network sa usa ka paagi. Ang problema makaapekto sa kadaghanan sa mga server sa HTTP nga adunay suporta sa HTTP/2 sa pila ka degree ug moresulta sa pagkahurot sa memorya sa trabahante o paghimo og sobra nga load sa CPU. Ang mga update nga nagwagtang sa mga kahuyangan gipresentar na ΠΈ , pero sa pagkakaron para sa Apache httpd ug .
Ang mga problema miresulta gikan sa mga komplikasyon nga gipaila sa HTTP/2 protocol nga may kalabutan sa paggamit sa binary structures, usa ka sistema alang sa paglimit sa data nga agos sulod sa mga koneksyon, usa ka flow prioritization mechanism, ug ang presensya sa ICMP-like control messages nga naglihok sa HTTP/2 connection. lebel (pananglitan, ping, reset, ug mga setting sa dagan). Daghang mga implementasyon ang wala husto nga naglimite sa dagan sa mga mensahe sa pagkontrol, wala maayo nga pagdumala sa prayoridad nga pila kung giproseso ang mga hangyo, o gigamit ang mga suboptimal nga pagpatuman sa mga algorithm sa pagkontrol sa dagan.
Kadaghanan sa nahibal-an nga mga pamaagi sa pag-atake moabut sa pagpadala sa piho nga mga hangyo sa server, nga nagdala sa henerasyon sa daghang mga tubag. Kung ang kliyente dili mobasa sa datos gikan sa socket ug dili magsira sa koneksyon, ang tubag buffering queue sa server side padayon nga mapuno. Ang kini nga pamatasan nagmugna usa ka load sa sistema sa pagdumala sa pila alang sa pagproseso sa mga koneksyon sa network ug, depende sa mga bahin sa pagpatuman, nagdala sa kakapoy sa magamit nga memorya o mga kapanguhaan sa CPU.
Giila nga mga kahuyangan:
- CVE-2019-9511 (Data Dribble) - usa ka tig-atake nangayo ug daghang data sa daghang mga hilo pinaagi sa pagmaniobra sa gidak-on sa sliding window ug prayoridad sa thread, pagpugos sa server sa pagpila sa datos sa 1-byte blocks;
- CVE-2019-9512 (Ping Flood) - usa ka tig-atake padayon nga naghilo sa mga mensahe sa ping sa usa ka koneksyon sa HTTP/2, hinungdan nga ang internal nga pila sa gipadala nga mga tubag nagbaha sa pikas nga bahin;
- CVE-2019-9513 (Resource Loop) - usa ka tig-atake nagmugna og daghang mga hangyo nga mga hilo ug padayon nga nagbag-o sa prayoridad sa mga hilo, hinungdan nga ang punoan sa prayoridad nga mag-shuffle;
- CVE-2019-9514 (I-reset ang Baha) - usa ka tig-atake naghimo og daghang mga hilo
ug nagpadala ug dili balido nga hangyo pinaagi sa matag hilo, hinungdan nga ang server magpadala sa RST_STREAM frame, apan dili modawat niini aron pun-on ang tubag nga pila; - CVE-2019-9515 (Settings Flood) - ang tig-atake nagpadala sa usa ka sapa nga walay sulod nga "SETTINGS" nga mga frame, isip tubag diin ang server kinahanglan nga moila sa resibo sa matag hangyo;
- CVE-2019-9516 (0-Length Headers Leak) β ang tig-atake nagpadala ug stream sa mga header nga adunay null nga ngalan ug null value, ug ang server naggahin ug buffer sa memorya aron tipigan ang matag header ug dili kini buhian hangtod matapos ang session. ;
- CVE-2019-9517 (Internal Data Buffering) - nagbukas ang tig-atake
HTTP/2 sliding window para sa server nga makapadala ug data nga walay mga pagdili, apan nagpugong sa TCP window nga sirado, nga nagpugong sa datos gikan sa aktuwal nga pagsulat sa socket. Sunod, ang tig-atake nagpadala mga hangyo nga nanginahanglan daghang tubag; - CVE-2019-9518 (Empty Frames Flood) - Nagpadala ang usa ka tig-atake ug stream sa mga frame sa tipo nga DATA, HEADERS, CONTINUATION, o PUSH_PROMISE, apan adunay walay sulod nga payload ug walay bandera sa pagtapos sa dagan. Ang server naggugol ug panahon sa pagproseso sa matag frame, nga dili katimbang sa bandwidth nga gigamit sa tig-atake.
Source: opennet.ru