พบช่องโหว่ HTTP/2 ระดับ Implementation เสี่ยงถูกโจมตีแบบ DoS

Jonathan Looney จาก Netflix และ Piotr Sikora จาก Google ออกมาเปิดเผยถึงช่องโหว่ระดับ Implementation ของ HTTP/2 ซึ่งเป็นโปรโตคอล HTTP เวอร์ชันล่าสุดรวม 8 รายการ เสี่ยงอาจถูกโจมตีแบบ DoS ซอฟต์แวร์ Web Server ยอดนิยมอย่าง Apache, Microsoft IIS และ NGINX ต่างได้รับกระทบทั้งหมด

Credit: Brian Rinker

HTTP/2 เปิดตัวเมื่อเดือนพฤษภาคม 2015 เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อเพิ่มความมั่นคงปลอดภัยและยกระดับประสบการณ์การใช้งานของผู้ใช้โดยเพิ่มความเร็วในการโหลดหน้าเว็บเพจ ปัจจุบันนี้มีเว็บไซต์มากกว่า 100 ล้านเว็บที่ใช้โปรโตคอล HTTP/2 ซึ่งคิดเป็นร้อยละ 40 ของเว็บไซต์ทั้งหมดบนโลกอินเทอร์เน็ต

ล่าสุด Looney และ Sikora พบช่องโหว่ความรุนแรงระดับสูงบน HTTP/2 รวม 8 รายการ อันเนื่องมาจาก Resource Exhausion ขณะจัดการกับ Input ไม่พึงประสงค์ ส่งให้ Client สามารถใช้งาน Queue Management Code ของ Server มากจนเกินไปได้ ก่อให้เกิดเงื่อนไขการโจมตีแบบ DoS ถึงขั้นเว็บไซต์ออฟไลน์ได้

ช่องโหว่ทั้ง 8 รายการประกอบด้วย

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

ทีมรักษาความมั่นคงปลอดภัยของ Netflix, Google และ CERT Coordination Center ได้รายงานช่องโหว่เหล่านี้ไปยัง Vendors ที่ได้รับผลกระทบแล้ว ได้แก่ NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js และ Envoy proxy ซึ่งส่วนใหญ่ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

ที่มา: https://thehackernews.com/2019/08/http2-dos-vulnerability.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เน็ตก้า ซิสเต็ม จัดทัพ ดึง ‘ซันเยห์ สัจเดว’ นั่งแท่นรองประธานเจ้าหน้าที่บริหาร [Guest Post]

เน็ตก้า ซิสเต็ม ประกาศแต่งตั้ง นายซันเยห์ สัจเดว เข้าดำรงตำแหน่งรองประธานเจ้าหน้าที่บริหาร ดูแลงานด้าน Strategy and Commercial นำทีม transform องค์กร เตรียมความพร้อมรองรับการขยายธุรกิจและสร้างคุณค่าให้กับลูกค้าอย่างยั่งยืน

PDPA Thailand จับมือ TRIS Corporation รุกให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความปลอดภัยไซเบอร์ [Guest Post]

บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด ในฐานะเจ้าของ PDPA Thailand ได้ลงนามความร่วมมือกับ TRIS Corporation เพื่อร่วมกันให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล และการความปลอดภัยไซเบอร์ เพื่อให้ลูกค้าของทั้ง 2 …