2 פגיעויות DoS זוהו ביישומים שונים של פרוטוקול HTTP/8

חוקרים מנטפליקס וגוגל גילה קיימות שמונה נקודות תורפה בהטמעות שונות של פרוטוקול HTTP/2 שעלולות לגרום למניעת שירות על ידי שליחת זרם של בקשות רשת בצורה מסוימת. הבעיה משפיעה במידה מסוימת על רוב שרתי ה-HTTP עם תמיכה ב-HTTP/2 וגורמת לכך שהזיכרון אוזל לעובד או ליצור עומס רב מדי במעבד. עדכונים שמבטלים פגיעויות כבר מוצגים ב nginx 1.16.1/1.17.3 и H2O 2.2.6, אבל כרגע אינו זמין עבור Apache httpd ו מוצרים אחרים.

הבעיות נבעו מסיבוכים שהוכנסו לפרוטוקול HTTP/2 הקשורים לשימוש במבנים בינאריים, מערכת להגבלת זרימות נתונים בתוך חיבורים, מנגנון תעדוף זרימה, ונוכחות של הודעות בקרה דמויות ICMP הפועלות בחיבור HTTP/2 רמה (לדוגמה, הגדרות פינג, איפוס וזרימה). יישומים רבים לא הגבילו כראוי את זרימת הודעות הבקרה, לא ניהלו ביעילות את תור העדיפות בעת עיבוד בקשות, או השתמשו ביישומים לא אופטימליים של אלגוריתמי בקרת זרימה.

רוב שיטות ההתקפה שזוהו מסתכמות בשליחת בקשות מסוימות לשרת, מה שמוביל ליצירת מספר רב של תגובות. אם הלקוח לא קורא נתונים מהשקע ולא סוגר את החיבור, תור חציצת התגובה בצד השרת מתמלא ללא הרף. התנהגות זו יוצרת עומס על מערכת ניהול התורים לעיבוד חיבורי רשת, ובהתאם לתכונות היישום, מובילה למיצוי הזיכרון הזמינים או משאבי המעבד.

נקודות תורפה שזוהו:

• CVE-2019-9511 (Data Dribble) - תוקף מבקש כמות גדולה של נתונים לתוך שרשורים מרובים על ידי מניפולציה של גודל החלון ההזזה וקדימות השרשור, מה שמאלץ את השרת לעמוד בתור את הנתונים בבלוקים של 1 בתים;
• CVE-2019-9512 (Ping Flood) - תוקף מרעיל ללא הרף הודעות פינג בחיבור HTTP/2, מה שגורם לתור הפנימי של תגובות שנשלחו להציף בצד השני;
• CVE-2019-9513 (לולאת משאבים) - תוקף יוצר שרשורי בקשות מרובים ומשנה ללא הרף את העדיפות של השרשורים, מה שגורם לעץ העדיפות לערבוב;
• CVE-2019-9514 (איפוס הצפה) - תוקף יוצר שרשורים מרובים
  ושולח בקשה לא חוקית דרך כל שרשור, מה שגורם לשרת לשלוח מסגרות RST_STREAM, אך אינו מקבל אותן כדי למלא את תור התגובות;

• CVE-2019-9515 (Settings Flood) - התוקף שולח זרם של מסגרות "SETTINGS" ריקות, בתגובה על השרת לאשר קבלה של כל בקשה;
• CVE-2019-9516 (0-Length Headers Leak) - תוקף שולח זרם של כותרות עם שם null וערך null, והשרת מקצה מאגר בזיכרון לאחסון כל כותרת ולא משחרר אותו עד שההפעלה מסתיימת ;
• CVE-2019-9517 (Buffering Internal Data) - התוקף נפתח
  חלון הזזה של HTTP/2 עבור השרת לשליחת נתונים ללא הגבלות, אך שומר על חלון ה-TCP סגור, ומונע מהנתונים להיכתב בפועל לשקע. לאחר מכן, התוקף שולח בקשות הדורשות תגובה גדולה;

• CVE-2019-9518 (Empty Frames Flood) - תוקף שולח זרם של פריימים מסוג DATA, HEADERS, CONTINUATION או PUSH_PROMISE, אך עם מטען ריק וללא דגל סיום זרימה. השרת מבלה זמן בעיבוד כל פריים, לא פרופורציונלי לרוחב הפס שצורך התוקף.

מקור: OpenNet.ru