北京赛车pk10直播开奖
首頁
登錄 | 注冊

HTTP/2拒絕服務攻擊漏洞警報

Netflix安全團隊與Google,CERT / CC合作,在各種中間件服務中披露HTTP/2協議實施中的分布式拒絕服務攻擊漏洞問題。 我們發現(今天修復)的許多攻擊媒介是一個關鍵變體:惡意客戶端要求服務器做一些響應行為,但客戶端拒絕讀取響應。 這將測試服務器的隊列管理代碼。 根據服務器處理隊列的方式,客戶端可以在處理請求時強制它消耗過多的內存和CPU。

HTTP/2拒絕服務攻擊漏洞警報

CVE-2019-9511

 攻擊者通過多個流從指定資源請求大量數據。它們操縱窗口大小和流優先級以強制服務器以1字節塊的形式對數據進行排隊。根據此數據排隊的效率,這可能會消耗過多的CPU,內存或兩者,從而可能導致拒絕服務。

CVE-2019-9512

 攻擊者向HTTP/2對等體發送連續ping,導致對等體構建內部響應隊列。根據此數據排隊的效率,這可能會消耗過多的CPU,內存或兩者,從而可能導致拒絕服務。

CVE-2019-9513

 攻擊者創建多個請求流,并以一種導致優先級樹大量流失的方式不斷地改變流的優先級。這可能會消耗過多的CPU,可能導致拒絕服務。

CVE-2019-9514

 攻擊者打開多個流,并在每個流上發送一個無效請求,該請求應該從對等方請求RST_STREAM幀流。根據對等體如何對RST_STREAM幀進行排隊,這會消耗過多的內存,CPU或兩者,從而可能導致拒絕服務。

CVE-2019-9515

 攻擊者向對等體發送SE??TTINGS幀流。由于RFC要求對等體回復每個SETTINGS幀有一個確認,因此空的SETTINGS幀在行為上與ping幾乎相同。根據此數據排隊的效率,這可能會消耗過多的CPU,內存或兩者,從而可能導致拒絕服務。

CVE-2019-9516

 攻擊者發送帶有0長度頭名稱和0長度頭部值的頭部流,可選地將霍夫曼編碼為1字節或更大的頭部。某些實現為這些頭分配內存并使分配保持活動直到會話終止。這可能會消耗過多的內存,可能導致拒絕服務。

CVE-2019-9517

 攻擊者打開HTTP/2窗口,以便對等體可以無限制地發送;但是,它們會使TCP窗口關閉,因此對等體實際上無法在線路上寫入(許多)字節。然后,攻擊者發送大量響應對象的請求流。根據服務器對響應進行排隊的方式,這可能會消耗過多的內存,CPU或兩者,從而可能導致拒絕服務。

CVE-2019-9518

 攻擊者發送一個具有空載荷且沒有流末尾標志的幀流。這些幀可以是DATA,HEADERS,CONTINUATION和/或PUSH_PROMISE。對等體花費時間處理每個幀與攻擊帶寬不成比例。這可能會消耗過多的CPU,可能導致拒絕服務。

Nginx已被確認受到影響,并已發布此漏洞的更新。



2019 monjeep.com webmaster#monjeep.com
12 q. 0.010 s.
京ICP備10005923號
北京赛车pk10直播开奖
吉林11选5技巧 电脑上怎么安装舟山星空棋牌 欢乐二人雀神手机版下载 国家授权正规彩票平台 世界杯足球直播 pk10冠军9码杀号技巧 捕鱼大师从哪里可以下载 彩票刮奖中奖内部秘密 亿酷棋牌手机版下载免费下载 带你玩重庆时时彩的人