Breaking News

พบช่องโหว่ HTTP/2 ระดับ Implementation เสี่ยงถูกโจมตีแบบ DoS

Jonathan Looney จาก Netflix และ Piotr Sikora จาก Google ออกมาเปิดเผยถึงช่องโหว่ระดับ Implementation ของ HTTP/2 ซึ่งเป็นโปรโตคอล HTTP เวอร์ชันล่าสุดรวม 8 รายการ เสี่ยงอาจถูกโจมตีแบบ DoS ซอฟต์แวร์ Web Server ยอดนิยมอย่าง Apache, Microsoft IIS และ NGINX ต่างได้รับกระทบทั้งหมด

Credit: Brian Rinker

HTTP/2 เปิดตัวเมื่อเดือนพฤษภาคม 2015 เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อเพิ่มความมั่นคงปลอดภัยและยกระดับประสบการณ์การใช้งานของผู้ใช้โดยเพิ่มความเร็วในการโหลดหน้าเว็บเพจ ปัจจุบันนี้มีเว็บไซต์มากกว่า 100 ล้านเว็บที่ใช้โปรโตคอล HTTP/2 ซึ่งคิดเป็นร้อยละ 40 ของเว็บไซต์ทั้งหมดบนโลกอินเทอร์เน็ต

ล่าสุด Looney และ Sikora พบช่องโหว่ความรุนแรงระดับสูงบน HTTP/2 รวม 8 รายการ อันเนื่องมาจาก Resource Exhausion ขณะจัดการกับ Input ไม่พึงประสงค์ ส่งให้ Client สามารถใช้งาน Queue Management Code ของ Server มากจนเกินไปได้ ก่อให้เกิดเงื่อนไขการโจมตีแบบ DoS ถึงขั้นเว็บไซต์ออฟไลน์ได้

ช่องโหว่ทั้ง 8 รายการประกอบด้วย

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

ทีมรักษาความมั่นคงปลอดภัยของ Netflix, Google และ CERT Coordination Center ได้รายงานช่องโหว่เหล่านี้ไปยัง Vendors ที่ได้รับผลกระทบแล้ว ได้แก่ NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js และ Envoy proxy ซึ่งส่วนใหญ่ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

ที่มา: https://thehackernews.com/2019/08/http2-dos-vulnerability.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ

Imperva ออกบริการ Cloud Data Security

Imperva ได้เล็งเห็นถึงความสำคัญของการใช้งาน Database-as-a-Service (DBaaS) ซึ่งปัจจุบันยังไม่มีโซลูชันป้องกันเพียงพอ ด้วยเหตุนี้เองจึงนำเสนอบริการ SaaS ใหม่ที่ชื่อ Cloud Data Security เพื่อเติมเต็มจุดประสงค์นี้