forum.opennet.ru

Составление сообщения

Исходное сообщение

"Серия уязвимостей в реализациях HTTP/2"
Отправлено opennews, 06-Авг-16 09:14

Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-n...) на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены четыре концептуальные уязвимости, проявляющиеся в различных  реализациях HTTP/2 и приводящие к отказу в обслуживании.

Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_eleme...) 2.3%, а месяц назад 8.4%.
Выявленные техники атак:
-  Slow Read - метод аналогичен известной DDoS-атаке
Slowloris, при которой клиент принимает ответ на запрос очень медленно, что позволяет исчерпать лимит на число активных соединений.
Атаке подвержены реализации HTTP/2 в  Apache, IIS, Jetty, NGINX и nghttp2. Разработчики nginx сообщили (https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../), что проблема была устранена в феврале в выпуске  NGINX 1.9.12, актуальные выпуски NGINX уязвимости не подвержены;

-   HPACK Bomb - атака через манипуляцию сжатыми запросами, аналогичная по своей сути "zip-бомбе". Суть метода в передаче небольших сжатых сообщений, которые на сервере распаковываются в гигабайты данных и приводят к исчерпанию доступных ресурсов;

-  Dependency Cycle Attack - метод построен на манипуляции механизмами управления потоком, применяемым в HTTP/2 для сетевой оптимизации. Атакующий может отправить специально оформленные запросы, которые приведут к взаимному использованию зависимостей и бесконечному зацикливанию при попытке обработать такие запросы. Проблема проявляется в Apache httpd и библиотеке nghttpd2 (https://nghttp2.org/).
-   Stream Multiplexing Abuse - атака нацелена на эксплуатацию недоработок в реализациях механизма мультиплексирования потоков в одном соединении и может привести к краху серверного процесса.
URL: https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44925

Исходное сообщение
"Серия уязвимостей в реализациях HTTP/2" Отправлено opennews, 06-Авг-16 09:14
Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-n...) на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены четыре концептуальные уязвимости, проявляющиеся в различных реализациях HTTP/2 и приводящие к отказу в обслуживании. Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_eleme...) 2.3%, а месяц назад 8.4%. Выявленные техники атак: - Slow Read - метод аналогичен известной DDoS-атаке Slowloris, при которой клиент принимает ответ на запрос очень медленно, что позволяет исчерпать лимит на число активных соединений. Атаке подвержены реализации HTTP/2 в Apache, IIS, Jetty, NGINX и nghttp2. Разработчики nginx сообщили (https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../), что проблема была устранена в феврале в выпуске NGINX 1.9.12, актуальные выпуски NGINX уязвимости не подвержены; - HPACK Bomb - атака через манипуляцию сжатыми запросами, аналогичная по своей сути "zip-бомбе". Суть метода в передаче небольших сжатых сообщений, которые на сервере распаковываются в гигабайты данных и приводят к исчерпанию доступных ресурсов; - Dependency Cycle Attack - метод построен на манипуляции механизмами управления потоком, применяемым в HTTP/2 для сетевой оптимизации. Атакующий может отправить специально оформленные запросы, которые приведут к взаимному использованию зависимостей и бесконечному зацикливанию при попытке обработать такие запросы. Проблема проявляется в Apache httpd и библиотеке nghttpd2 (https://nghttp2.org/). - Stream Multiplexing Abuse - атака нацелена на эксплуатацию недоработок в реализациях механизма мультиплексирования потоков в одном соединении и может привести к краху серверного процесса. URL: https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=44925

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-newsArticle&ID=2192322) 
> на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) 
> с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены 
> четыре концептуальные уязвимости, проявляющиеся в различных  реализациях HTTP/2 и приводящие 
> к отказу в обслуживании.

> Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности 
> протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) 
> W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что 
> в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_element/all) 
> 2.3%, а месяц назад 8.4%.

> Выявленные техники атак:

> -  Slow Read - метод аналогичен известной DDoS-атаке 
>  Slowloris, при которой клиент принимает ответ на запрос очень медленно, что 
> позволяет исчерпать лимит на число активных соединений.
> Атаке подвержены реализации HTTP/2 в  Apache, IIS, Jetty, NGINX и nghttp2. 
> Разработчики nginx сообщили (https://www.nginx.com/blog/the-imperva-http2-vulnerability-report-and-nginx/), 
> что проблема была устранена в феврале в выпуске  NGINX 1.9.12, 
> актуальные выпуски NGINX уязвимости не подвержены;

> -   HPACK Bomb - атака через манипуляцию сжатыми запросами, аналогичная 
> по своей сути "zip-бомбе". Суть метода в передаче небольших сжатых сообщений, 
> которые на сервере распаковываются в гигабайты данных и приводят к исчерпанию 
> доступных ресурсов;

> -  Dependency Cycle Attack - метод построен на манипуляции механизмами управления 
> потоком, применяемым в HTTP/2 для сетевой оптимизации. Атакующий может отправить специально 
> оформленные запросы, которые приведут к взаимному использованию зависимостей и бесконечному 
> зацикливанию при попытке обработать такие запросы. Проблема проявляется в Apache httpd 
> и библиотеке nghttpd2 (https://nghttp2.org/).

> -   Stream Multiplexing Abuse - атака нацелена на эксплуатацию недоработок 
> в реализациях механизма мультиплексирования потоков в одном соединении и может привести 
> к краху серверного процесса.

> URL: https://www.nginx.com/blog/the-imperva-http2-vulnerability-report-and-nginx/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=44925

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру