Fuerscher vun Netflix a Google Et ginn aacht Schwachstelle bei verschiddenen Implementatiounen vum HTTP/2-Protokoll, déi e Verweigerung vum Service verursaache kënnen, andeems e Stroum vun Netzwierkerfroen op eng gewësse Manéier schéckt. De Problem beaflosst déi meescht HTTP-Server mat HTTP/2-Ënnerstëtzung zu engem gewësse Grad a resultéiert datt den Aarbechter aus Erënnerung leeft oder ze vill CPU-Laascht erstellt. Updates déi Schwachstelle eliminéieren si scho presentéiert и , awer fir elo fir Apache httpd an .
D'Problemer entstinn aus Komplikatiounen, déi an den HTTP/2 Protokoll agefouert goufen, verbonne mat der Notzung vu binäre Strukturen, e System fir Datefloss bannent Verbindungen ze limitéieren, e Flow Prioritéitsmechanismus, an d'Präsenz vun ICMP-ähnleche Kontrollmeldungen, déi op der HTTP/2 Verbindung funktionnéieren. Niveau (zum Beispill Ping, Reset a Flow Astellungen). Vill Implementatioune limitéieren de Flux vu Kontrollmeldungen net korrekt, hunn d'Prioritéitschlaang net effizient verwalten beim Veraarbechtung vun Ufroen, oder hunn suboptimal Implementatioune vu Flowkontrollalgorithmen benotzt.
Déi meescht vun den identifizéierten Attackemethoden kommen erof op d'Schécken vu bestëmmte Ufroen un de Server, wat zu der Generatioun vun enger grousser Zuel vun Äntwerten féiert. Wann de Client net Daten aus der Socket liest an d'Verbindung net zoumaacht, fëllt d'Äntwertbufferschlaang op der Serversäit kontinuéierlech. Dëst Verhalen schaaft eng Laascht op de Schlaangmanagementsystem fir d'Veraarbechtung vu Netzwierkverbindungen an, ofhängeg vun den Implementéierungsfeatures, féiert zu der Ausschöpfung vun verfügbaren Erënnerung oder CPU Ressourcen.
Identifizéiert Schwachstelle:
- CVE-2019-9511 (Data Dribble) - en Ugräifer freet eng grouss Quantitéit vun Donnéeën a verschidde Threads andeems se d'Schlittfenstergréisst a Fuedemprioritéit manipuléieren, an de Server forcéiere fir d'Daten an 1-Byte-Blocken ze queue;
- CVE-2019-9512 (Ping Flood) - en Ugräifer vergëft kontinuéierlech Ping-Botschaften iwwer eng HTTP/2 Verbindung, wat d'intern Schlaang vu geschéckte Äntwerten op der anerer Säit iwwerschwemmt;
- CVE-2019-9513 (Resource Loop) - en Ugräifer erstellt verschidde Ufro-Threads a ännert kontinuéierlech d'Prioritéit vun de Threads, wouduerch de Prioritéitsbam shuffle;
- CVE-2019-9514 (Reset Flood) - en Ugräifer erstellt verschidde Threads
a schéckt eng ongëlteg Ufro duerch all Thread, wouduerch de Server RST_STREAM Frames schéckt, awer akzeptéiert se net fir d'Äntwertschlaang ze fëllen; - CVE-2019-9515 (Settings Flood) - den Ugräifer schéckt e Stroum vun eidelen "SETTINGS" Frames, als Äntwert op déi de Server d'Empfang vun all Ufro unerkennen muss;
- CVE-2019-9516 (0-Length Headers Leak) - en Ugräifer schéckt e Stroum vun Header mat engem Nullnumm an engem Nullwäert, an de Server verdeelt e Puffer an der Erënnerung fir all Header ze späicheren an huet se net verëffentlecht bis d'Sessioun eriwwer ass ;
- CVE-2019-9517 (Intern Data Buffer) - Ugräifer mécht op
HTTP / 2 Schieberfenster fir de Server fir Daten ouni Restriktiounen ze schécken, awer hält d'TCP-Fënster zou, verhënnert datt Daten tatsächlech an de Socket geschriwwe ginn. Als nächst schéckt den Ugräifer Ufroen déi eng grouss Äntwert erfuerderen; - CVE-2019-9518 (Empty Frames Flood) - En Ugräifer schéckt e Stroum vu Frames vum Typ DATA, HEADERS, CONTINUATION oder PUSH_PROMISE, awer mat eidelen Notzlaascht a kee Flossterminatiounsfändel. De Server verbréngt Zäit fir all Frame ze veraarbecht, disproportionnéiert zu der Bandbreedung, déi vum Ugräifer verbraucht gëtt.
Source: opennet.ru