NGINX: Luki w implementacji HTTP/2

02 Aug 2019

cve  dos  http  nginx  security  vulnerabilities 

Share on:

W maju 2019 r. inżynierowie Netflixa odkryli szereg luk bezpieczeństwa w kilku implementacjach HTTP/2. Zostały one zgłoszone każdemu z zainteresowanych dostawców i opiekunów. NGINX był podatny na trzy wektory ataku, jak opisano szczegółowo w następujących CVE:

Każda z tych podatności ma trzy cechy wspólne:

Od 2 września 2019 r. najnowszą obsługiwaną wersją jest:

Rozwiązania #

CVE-2019-9511 (HTTP/2 Denial of Service Advisory) #

Podatność ta związana jest z implementacją HTTP/2 i polega na takim manipulowaniu rozmiarem okna oraz priorytetami wykorzystywanych strumieni, aby zmusić serwer do kolejkowania danych w bardzo małych porcjach, co może skutkować odmową usługi (DoS).

Krótko mówiąc, atakujący żąda dużej ilości danych z określonego zasobu w wielu strumieniach, co może nadmiernie wysycać zasoby takie jak CPU i pamięć.

Więcej informacji:

CVE-2019-9513 + CVE-2019-9516 #

Podatność związana z nieprawidłową weryfikacją danych wejściowych podczas przetwarzania żądań HTTP/2. Atakujący może wysłać specjalnie spreparowane żądanie do serwera i w konsekwencji zużyć wszystkie dostępne zasoby CPU w wyniku przeprowadzając atak typu DoS.

Więcej informacji: