Zaifliklar Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js va Ubuntu kabi savdogarlarning mahsulotlariga ta'sir qiladi.
Netflix va Google tadqiqotchilari HTTP / 2 protokolining bajarilishida bir qator zaifliklarni aniqladilar. Zaifliklardan foydalanish tajovuzkorlarga yangilanmagan serverlarda xizmat ko'rsatishni rad etishdan iborat.
Muammolar HTTP / 2-ni qo'llab-quvvatlaydigan serverlarga ta'sir qiladi. W3Techs statistikasiga ko'ra, bu Internetdagi barcha veb-saytlarning 40,0% ni tashkil qiladi.
Hammasi bo'lib, masofadan foydalanish mumkin bo'lgan sakkizta zaiflik aniqlandi. Tadqiqotchilarning so`zlariga ko'ra, hujumning barcha vektorlari bir xil sxemaning o'zi - mijoz zaif server javobini qo'zg'atadi, keyin uni o'qishdan bosh tortganda bo`ladi. Serverning navbatni boshqarish qobiliyatiga qarab, mijoz kiruvchi so'rovlarni qayta ishlash uchun o'zining ortiqcha xotirasi va protsessorlaridan foydalanishi mumkin.
Zaifliklarga quyidagilar tayinlandi: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 va CVE-2019 2019-9518. Ularning ekspluatatsiyasi buzg'unchilarga bir nechta oqimlar bo'yicha katta hajmdagi ma'lumotlarni so'rash, HTTP / 2-pir va uzatish freymlari yoki sarlavhalarini yoki nomlari va qiymatlari bo'lmagan himoyasiz serverga yuborish imkonini beradi. Ma'lumotlar navbatga qo'yilishi va ortiqcha protsessor resurslarini iste'mol qilishiga qarab, bu xizmat ko'rsatishni rad etishga olib kelishi mumkin.
CERT koordinatsiya markazi ma'lumotlariga ko'ra, zaifliklar Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js va Ubuntu kabi savdogarlar mahsulotlarga ta'sir qiladi.
Ba'zi kompaniyalar aniqlangan muammoni allaqachon hal qildilar, shuningdek, tajovuzkorlarning bir nechta muvaffaqiyatsiz hujumlarini ham qayd etishdi.
Manbaa: https://www.securitylab.ru/news/500461.php