HTTP/2实现中的缺陷将服务器暴露给DoS攻击

华盟君引言“Netflix和谷歌的专家发现了影响各种HTTP/2实现的8个拒绝服务(DoS)漏洞。”

Netflix和谷歌的研究人员发现了影响各种HTTP/2实现的8个拒绝服务(DoS)缺陷。一些有缺陷的实现属于技术巨头，如亚马逊、苹果、Facebook和微软。安全缺陷影响最流行的web服务器软件，包括Apache、Microsoft的IIS和NGINX。

攻击者可以利用这些漏洞对支持HTTP/2的服务器发起DoS攻击。Netflix的Jonathan Looney发现了7个漏洞，谷歌的Piotr Sikora发现了一个漏洞(CVE-2019-9518)，这是在处理恶意输入时资源耗尽造成的。

HTTP/2(最初命名为HTTP/2.0)是万维网使用的HTTP网络协议的一个主要修订。它是从早期实验SPDY协议派生而来的，最初是由谷歌开发的。

HTTP/2协议旨在使应用程序更快、更安全、更健壮。

这些HTTP/2漏洞不允许攻击者泄漏或修改信息。Netflix在一份咨询中解释道。

相反，它们允许少量低带宽恶意会话，以防止连接参与者做额外的工作。这些攻击很可能耗尽资源，导致同一台机器上的其他连接或进程也可能受到影响或崩溃，”

以下是专家发现的漏洞清单:

1.CVE-2019-9511 - HTTP/2“数据流”

2.CVE-2019-9512 - HTTP/2 " Ping Flood "

3.CVE-2019-9513 - HTTP/2“资源循环”

4.CVE-2019-9514 - HTTP/2“重置洪水”

5.CVE-2019-9515 - HTTP/2“设置洪水”

6.CVE-2019-9516 - HTTP/2“0长度报头泄漏”

7.CVE-2017-9517 - HTTP/2“内部数据缓冲”

8.CVE-2019-9518 - HTTP/2“请求数据/头洪”

专家提出的攻击场景中，恶意客户端与服务器联系，试图让服务器生成响应。然后，客户机拒绝读取响应，从而触发服务器的队列管理代码。

这将练习服务器的队列管理代码。根据服务器处理队列的方式，客户机可以强制服务器在处理请求时消耗过多的内存和CPU。”顾问继续说。

CERT/CC还发布了一份安全咨询，其中包括一系列受影响的产品和漏洞。苹果、Akamai、Cloudflare、微软和NGINX已经发布了安全补丁来解决这些缺陷。唯一可能的缓解方法是禁用服务器上的HTTP/2支持，但这可能会导致性能问题。