В HTTP/2 протокола е идентифицирана нова фундаментална уязвимост
Нова фундаментална накърнимост в протокола HTTP/2 може да бъде употребена за осъществяване на DoS офанзиви. Откритието, наречено HTTP/2 CONTINUATION Flood идва от откривателя в региона на киберсигурността Бартек Новотарски, който е докладвал за казуса на Координационния център CERT на 25 януари 2024 година.
В отчета на CERT от 3 април се показва, че доста реализации на HTTP/2 обработват погрешно огромен брой CONTINUATION фрагменти, изпратени в границите на един поток.
Рамките CONTINUATION в HTTP/2 се употребяват за предаване на фрагменти от блокове на заглавия. Последният фрейм съдържа байрак END_HEADERS, указващ края на блока. Нападателят обаче може да инициира нов поток по HTTP/2 против уязвим сървър и да изпрати HEADERS и CONTINUATION рамки без заложен байрак END_HEADERS, създавайки безконечен поток от заглавия, които сървърът ще бъде заставен да обработва и съхранява в паметта. Всичко това може да докара до препълване на паметта на сървъра и като разследване – срив на сървъра.
„ CONTINUATION Flood “ се смята за по-сериозна опасност спрямо офанзивата „ Rapid Reset “, за която беше обявено през октомври 2023 гodina. Според Новотарски, една-единствена машина, а в някои случаи даже една TCP връзка или няколко фрагмента, могат изцяло да нарушат наличността на сървъра. Забележително е, че поръчките, които съставляват офанзивата не се виждат в HTТP регистрите за достъп, което ги прави сложни за разкриване.
Уязвимостта визира голям брой планове, в това число amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, Node.js и Tempesta FW. Разработчиците на тези планове към този момент са разгласили актуализации за премахване на уязвимостта.
Като краткотрайно решение се предлага да изключите поддръжката на HTTP/2 на сървъра, до момента в който се приложи актуализацията. Тази защитна мярка ще помогне да се избегнат евентуални офанзиви и да се поддържа стабилността му.
