Nga Kairangahau mai i Netflix me Google E waru nga whakaraeraetanga i roto i nga momo whakatinanatanga o te kawa HTTP/2 ka taea te whakakore i te ratonga ma te tuku i te awa o nga tono whatunga i tetahi huarahi. Ko nga raruraru ka pa ki te nuinga o nga tūmau HTTP me te tautoko HTTP/2 ki etahi tohu ka mutu te mahi a te kaimahi ki te kore o te mahara, ka nui rawa ranei te utaina CPU. Ko nga whakahoutanga e whakakore ana i nga whakaraerae kua whakaatuhia ki roto и , engari mo tenei wa mo Apache httpd me .
Ko nga raruraru i puta mai i nga raruraru i whakauruhia ki roto i te kawa HTTP / 2 e pa ana ki te whakamahi i nga hanganga-rua, he punaha mo te whakaiti i nga rerenga raraunga i roto i nga hononga, he tikanga whakarite rere, me te noho o nga karere mana-rite ICMP e mahi ana i te hononga HTTP/2 taumata (hei tauira, ping, tautuhi, me nga tautuhinga rere). He maha nga whakatinanatanga kaore i tika te whakawhäiti i te rere o nga karere mana, kaore i pai te whakahaere i te rarangi kaupapa matua i te wa e tukatuka ana nga tono, i whakamahi ranei i nga whakatinanatanga iti rawa o nga huringa whakahaere rere.
Ko te nuinga o nga tikanga whakaeke kua tautuhia ka heke iho ki te tuku i etahi tono ki te tūmau, e arai ana ki te whakaputa i te maha o nga whakautu. Ki te kore e panuihia e te kiritaki nga raraunga mai i te turanga me te kore e kati i te hononga, ka whakakiia tonu te rarangi parepare whakautu i te taha tūmau. Ko tenei whanonga ka hanga he kawenga ki runga i te punaha whakahaere rarangi mo te tukatuka i nga hononga whatunga, a, i runga i nga ahuatanga whakatinanatanga, ka arahi ki te ruha o nga mahara e waatea ana, nga rauemi CPU ranei.
Nga whakaraeraetanga kua tautuhia:
- CVE-2019-9511 (Data Dribble) - ka tono te kaitukino i te nui o nga raraunga ki roto i nga miro maha ma te raweke i te rahi o te matapihi reti me te kaupapa matua o te miro, me te akiaki i te tūmau ki te tūtira i nga raraunga i roto i nga poraka 1-paita;
- CVE-2019-9512 (Ping Flood) - ka paihana te tangata whakaeke i nga karere ping i runga i te hononga HTTP/2, ka waipuke te rarangi o roto o nga whakautu i tukuna ki tera taha;
- CVE-2019-9513 (Resource Loop) - ka hangaia e te kaitukino nga miro tono maha ka huri tonu i te kaupapa matua o nga miro, ka riwhi te rakau matua;
- CVE-2019-9514 (Tautuhi Waipuke) - ka hangaia e te kaitukino nga miro maha
ka tukuna he tono muhu ki ia miro, ka tukuna e te tūmau nga papa RST_STREAM, engari kaore e whakaae kia whakakiia te rarangi whakautu; - CVE-2019-9515 (Tautuhinga Waipuke) - ka tukuna e te kaitukino he awa o nga papa "SETTINGS" kau, hei whakautu me whakaae te kaimau ki te whiwhinga o ia tono;
- CVE-2019-9516 (0-Length Headers Leak) – ka tukuna e te kaitukino he awa o nga pane me te ingoa kore me te uara kore, ka toha e te tūmau he parepare i roto i te mahara ki te penapena i ia pane ka kore e tukuna kia mutu ra ano te wahanga. ;
- CVE-2019-9517 (Tukupapa Raraunga Roo) - ka tuwhera te kaipatu
He matapihi reiti HTTP/2 mo te tūmau ki te tuku raraunga kaore he here, engari ka kati te matapihi TCP, kia kore ai e tuhia nga raraunga ki te turanga. I muri mai, ka tukuna e te kaiwhaiwhai nga tono e hiahia ana kia nui te whakautu; - CVE-2019-9518 (Waipuhia Nga Papa Putua) - Ka tukuna e te kaikoeke he rerenga papa mo te momo DATA, HEADERS, CONTINUATION, PUSH_PROMISE ranei, engari me te utu kore kau me te haki whakamutu rere. Ka whakapaua e te kaimau te wa ki te tukatuka i ia anga, kaore i rite ki te bandwidth i pau i te kaitukino.
Source: opennet.ru