Microsoft Azure by Ingram Micro (Thailand)

พบช่องโหว่ HTTP/2 ระดับ Implementation เสี่ยงถูกโจมตีแบบ DoS

Jonathan Looney จาก Netflix และ Piotr Sikora จาก Google ออกมาเปิดเผยถึงช่องโหว่ระดับ Implementation ของ HTTP/2 ซึ่งเป็นโปรโตคอล HTTP เวอร์ชันล่าสุดรวม 8 รายการ เสี่ยงอาจถูกโจมตีแบบ DoS ซอฟต์แวร์ Web Server ยอดนิยมอย่าง Apache, Microsoft IIS และ NGINX ต่างได้รับกระทบทั้งหมด

Credit: Brian Rinker

HTTP/2 เปิดตัวเมื่อเดือนพฤษภาคม 2015 เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อเพิ่มความมั่นคงปลอดภัยและยกระดับประสบการณ์การใช้งานของผู้ใช้โดยเพิ่มความเร็วในการโหลดหน้าเว็บเพจ ปัจจุบันนี้มีเว็บไซต์มากกว่า 100 ล้านเว็บที่ใช้โปรโตคอล HTTP/2 ซึ่งคิดเป็นร้อยละ 40 ของเว็บไซต์ทั้งหมดบนโลกอินเทอร์เน็ต

ล่าสุด Looney และ Sikora พบช่องโหว่ความรุนแรงระดับสูงบน HTTP/2 รวม 8 รายการ อันเนื่องมาจาก Resource Exhausion ขณะจัดการกับ Input ไม่พึงประสงค์ ส่งให้ Client สามารถใช้งาน Queue Management Code ของ Server มากจนเกินไปได้ ก่อให้เกิดเงื่อนไขการโจมตีแบบ DoS ถึงขั้นเว็บไซต์ออฟไลน์ได้

ช่องโหว่ทั้ง 8 รายการประกอบด้วย

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

ทีมรักษาความมั่นคงปลอดภัยของ Netflix, Google และ CERT Coordination Center ได้รายงานช่องโหว่เหล่านี้ไปยัง Vendors ที่ได้รับผลกระทบแล้ว ได้แก่ NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js และ Envoy proxy ซึ่งส่วนใหญ่ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

ที่มา: https://thehackernews.com/2019/08/http2-dos-vulnerability.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย