Nā mea noiʻi mai Netflix a me Google ʻEwalu mau nāwaliwali i nā hoʻokō like ʻole o ka protocol HTTP/2 e hiki ai ke hōʻole i ka lawelawe ma ka hoʻouna ʻana i kahi kahawai o nā noi pūnaewele ma kekahi ala. Hoʻopilikia ka pilikia i ka hapa nui o nā kikowaena HTTP me ke kākoʻo HTTP/2 i kekahi pae a me ka hopena i ka pau ʻana o ka hoʻomanaʻo o ka mea hana a i ʻole ka hana ʻana i ka ukana CPU nui loa. Ua hōʻike mua ʻia nā mea hou e hoʻopau i nā nāwaliwali и , akā i kēia manawa no Apache httpd a me .
ʻO nā pilikia i loaʻa mai nā pilikia i hoʻokomo ʻia i loko o ka protocol HTTP/2 e pili ana i ka hoʻohana ʻana i nā hale binary, kahi ʻōnaehana no ka kaupalena ʻana i ka kahe o ka ʻikepili i loko o nā pilina, kahi ʻano hana mua o ka holo ʻana, a me ka hele ʻana o nā memo mana e like me ICMP e hana ana ma ka pilina HTTP/2. pae (no ka laʻana, ping, reset, a me nā hoʻonohonoho kahe). ʻAʻole i kaupalena pono nā hoʻokō he nui i ke kahe ʻana o nā leka hoʻomalu, ʻaʻole i hoʻokele maikaʻi i ka pila koʻikoʻi i ka wā e hoʻoponopono ai i nā noi, a i ʻole hoʻohana i nā hoʻokō suboptimal o nā algorithm mana kahe.
ʻO ka hapa nui o nā ʻano hoʻouka kaua i ʻike ʻia e iho mai i ka hoʻouna ʻana i kekahi mau noi i ke kikowaena, e alakaʻi ana i ka hana o nā pane he nui. Inā ʻaʻole heluhelu ka mea kūʻai i ka ʻikepili mai ke kumu a ʻaʻole pani i ka pilina, e hoʻopiha mau ana ka queue buffering pane ma ka ʻaoʻao kikowaena. Hoʻokumu kēia ʻano i ka ukana ma ka ʻōnaehana hoʻokele queue no ka hoʻoponopono ʻana i nā pili pūnaewele a, ma muli o nā hiʻohiʻona hoʻokō, alakaʻi i ka pau ʻana o ka hoʻomanaʻo i loaʻa a i ʻole nā kumuwaiwai CPU.
Nā mea nāwaliwali i ʻike ʻia:
- CVE-2019-9511 (Data Dribble) - noi ka mea hoʻouka i ka nui o ka ʻikepili i loko o nā kaula he nui ma o ka hoʻopunipuni ʻana i ka nui o ka puka makani sliding a me ka mea nui o ke kaula, e koi ana i ka server e hoʻopaʻa i ka ʻikepili i nā poloka 1-byte;
- CVE-2019-9512 (Ping Flood) - hoʻohana mau ka mea hoʻouka i nā memo ping ma luna o kahi pilina HTTP/2, e hoʻoheheʻe ʻia ai ka pila kūloko o nā pane i hoʻouna ʻia ma kēlā ʻaoʻao;
- CVE-2019-9513 (Resource Loop) - hana ka mea hoʻouka i nā pae noi he nui a hoʻololi mau i ka mea nui o nā kaula, e hoʻoneʻe i ka lāʻau mua;
- CVE-2019-9514 (Reset Flood) - hana ka mea hoʻouka kaua i nā kaula he nui.
a hoʻouna i kahi noi kūpono ʻole ma kēlā me kēia pae, no laila e hoʻouna ke kikowaena i nā kiʻi RST_STREAM, akā ʻaʻole e ʻae iā lākou e hoʻopiha i ka pila pane; - CVE-2019-9515 (Settings Flood) - hoʻouna ka mea hoʻouka i kahi kahawai o nā kiʻi "SETTINGS" ʻole, i pane i ka mea e pono ai ke kikowaena e hōʻoia i ka loaʻa ʻana o kēlā me kēia noi;
- CVE-2019-9516 (0-Length Headers Leak) - hoʻouna ka mea hoʻouka i kahi kahawai o nā poʻomanaʻo me ka inoa null a me ka waiwai null, a hoʻokaʻawale ke kikowaena i kahi paʻa i ka hoʻomanaʻo e mālama i kēlā me kēia poʻo a ʻaʻole hoʻokuʻu a hiki i ka pau ʻana o ke kau. ;
- CVE-2019-9517 (Ka hoʻopaʻa ʻikepili i loko) - wehe ka mea hoʻouka
HTTP/2 sliding window no ke kikowaena e hoʻouna i ka ʻikepili me ka ʻole o ke kaohi ʻana, akā mālama i ka puka makani TCP i pani ʻia, e pale ana i ka ʻikepili mai ka kākau maoli ʻana i ke kumu. A laila, hoʻouna ka mea hoʻouka i nā noi e koi ana i ka pane nui; - CVE-2019-9518 (Empty Frames Flood) - Hoʻouna ka mea hoʻouka i kahi kahawai o nā ʻano DATA, HEADERS, CONTINUATION, a i ʻole PUSH_PROMISE, akā me ka uku ʻole a ʻaʻohe hae hoʻopau kahe. Hoʻohana ka server i ka manawa e hoʻoponopono ai i kēlā me kēia kiʻi, ʻaʻole like me ka bandwidth i hoʻopau ʻia e ka mea hoʻouka.
Source: opennet.ru