Watafiti kutoka Netflix na Google Kuna udhaifu nane katika utekelezaji mbalimbali wa itifaki ya HTTP/2 ambao unaweza kusababisha kunyimwa huduma kwa kutuma maombi ya mtandao kwa njia fulani. Tatizo huathiri seva nyingi za HTTP zenye usaidizi wa HTTP/2 kwa kiwango fulani na kusababisha mfanyakazi kukosa kumbukumbu au kuunda mzigo mwingi wa CPU. Masasisho ambayo huondoa udhaifu tayari yamewasilishwa ΠΈ , lakini kwa sasa kwa Apache httpd na .
Matatizo yaliyotokana na matatizo yaliyoletwa katika itifaki ya HTTP/2 yanayohusiana na matumizi ya miundo ya mfumo wa jozi, mfumo wa kuzuia mtiririko wa data ndani ya miunganisho, utaratibu wa kuweka kipaumbele kwa mtiririko, na uwepo wa ujumbe wa udhibiti kama ICMP unaofanya kazi kwenye muunganisho wa HTTP/2. kiwango (kwa mfano, ping, weka upya, na mipangilio ya mtiririko). Utekelezaji mwingi haukuwekea kikomo mtiririko wa ujumbe wa udhibiti ipasavyo, haukusimamia vyema foleni ya kipaumbele wakati wa kuchakata maombi, au ulitumia utekelezaji mdogo wa algoriti za udhibiti wa mtiririko.
Mbinu nyingi za uvamizi zilizotambuliwa zinakuja kwa kutuma maombi fulani kwa seva, na kusababisha uzalishaji wa idadi kubwa ya majibu. Ikiwa mteja hajasoma data kutoka kwa soketi na hajafunga muunganisho, foleni ya kuakibisha ya majibu kwenye upande wa seva inaendelea kujaa. Tabia hii inaunda mzigo kwenye mfumo wa usimamizi wa foleni kwa usindikaji wa miunganisho ya mtandao na, kulingana na vipengele vya utekelezaji, husababisha uchovu wa kumbukumbu zilizopo au rasilimali za CPU.
Udhaifu uliotambuliwa:
- CVE-2019-9511 (Data Dribble) - mshambulizi huomba kiasi kikubwa cha data katika nyuzi nyingi kwa kuendesha ukubwa wa dirisha la kuteleza na kipaumbele cha thread, na kulazimisha seva kupanga foleni data katika vitalu vya 1-byte;
- CVE-2019-9512 (Ping Flood) - mshambulizi anaendelea kutia sumu kwenye jumbe za ping kwenye muunganisho wa HTTP/2, na kusababisha foleni ya ndani ya majibu yaliyotumwa kufurika upande mwingine;
- CVE-2019-9513 (Kitanzi cha Rasilimali) - mshambulizi huunda nyuzi nyingi za ombi na hubadilisha mara kwa mara kipaumbele cha nyuzi, na kusababisha mti wa kipaumbele kuchanganyika;
- CVE-2019-9514 (Weka Upya Mafuriko) - mshambulizi huunda nyuzi nyingi
na kutuma ombi batili kupitia kila mazungumzo, na kusababisha seva kutuma fremu za RST_STREAM, lakini haikubali kujaza foleni ya majibu; - CVE-2019-9515 (Mafuriko ya Mipangilio) - mshambulizi hutuma mtiririko wa fremu tupu za "SETTINGS", kwa kujibu ambayo seva lazima ikiri kupokea kila ombi;
- CVE-2019-9516 (0-Length Headers Leak) - mshambulizi hutuma mtiririko wa vichwa vilivyo na jina lisilofaa na thamani isiyofaa, na seva hutenga bafa katika kumbukumbu ili kuhifadhi kila kichwa na haitoi hadi kipindi kitakapomalizika. ;
- CVE-2019-9517 (Uhifadhi Data wa Ndani) - mshambuliaji anafungua
Dirisha la kuteleza la HTTP/2 kwa seva kutuma data bila vizuizi, lakini huweka kidirisha cha TCP kikiwa kimefungwa, hivyo kuzuia data kuandikwa kwenye soketi. Kisha, mshambuliaji hutuma maombi ambayo yanahitaji jibu kubwa; - CVE-2019-9518 (Mafuriko ya Fremu Tupu) - Mshambulizi hutuma mtiririko wa fremu za aina ya DATA, HEADERS, CONTINUATION, au PUSH_PROMISE, lakini zikiwa na mzigo tupu na hakuna bendera ya kusimamisha mtiririko. Seva hutumia muda kuchakata kila fremu, isiyolingana na kipimo data kinachotumiwa na mvamizi.
Chanzo: opennet.ru