CDIC 2023

พบช่องโหว่ HTTP/2 ระดับ Implementation เสี่ยงถูกโจมตีแบบ DoS

Jonathan Looney จาก Netflix และ Piotr Sikora จาก Google ออกมาเปิดเผยถึงช่องโหว่ระดับ Implementation ของ HTTP/2 ซึ่งเป็นโปรโตคอล HTTP เวอร์ชันล่าสุดรวม 8 รายการ เสี่ยงอาจถูกโจมตีแบบ DoS ซอฟต์แวร์ Web Server ยอดนิยมอย่าง Apache, Microsoft IIS และ NGINX ต่างได้รับกระทบทั้งหมด

Credit: Brian Rinker

HTTP/2 เปิดตัวเมื่อเดือนพฤษภาคม 2015 เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อเพิ่มความมั่นคงปลอดภัยและยกระดับประสบการณ์การใช้งานของผู้ใช้โดยเพิ่มความเร็วในการโหลดหน้าเว็บเพจ ปัจจุบันนี้มีเว็บไซต์มากกว่า 100 ล้านเว็บที่ใช้โปรโตคอล HTTP/2 ซึ่งคิดเป็นร้อยละ 40 ของเว็บไซต์ทั้งหมดบนโลกอินเทอร์เน็ต

ล่าสุด Looney และ Sikora พบช่องโหว่ความรุนแรงระดับสูงบน HTTP/2 รวม 8 รายการ อันเนื่องมาจาก Resource Exhausion ขณะจัดการกับ Input ไม่พึงประสงค์ ส่งให้ Client สามารถใช้งาน Queue Management Code ของ Server มากจนเกินไปได้ ก่อให้เกิดเงื่อนไขการโจมตีแบบ DoS ถึงขั้นเว็บไซต์ออฟไลน์ได้

ช่องโหว่ทั้ง 8 รายการประกอบด้วย

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

ทีมรักษาความมั่นคงปลอดภัยของ Netflix, Google และ CERT Coordination Center ได้รายงานช่องโหว่เหล่านี้ไปยัง Vendors ที่ได้รับผลกระทบแล้ว ได้แก่ NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js และ Envoy proxy ซึ่งส่วนใหญ่ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

ที่มา: https://thehackernews.com/2019/08/http2-dos-vulnerability.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …