Minden, amit a HTTP/2-féle hibáról tudni érdemes

Szerző: Biztonságportál | Utolsó módosítás: 2024.04.08.
​Összegyűjtöttük a legfontosabb információkat a HTTP/2 kapcsán feltárt sérülékenységről és a kockázatcsökkentési lehetőségekről.
 

Barket Nowotarski biztonsági kutató nevéhez fűződik az a felfedezés, amely a HTTP/2 protokoll egyes - széles körben is használatos - implementációival kapcsolatban hozott felszínre egy súlyos sebezhetőséget, illetve ezzel párhuzamosan egy új típusú támadási technikát. Ennek neve CONTINUATION Flood. Az ilyen típusú támadások az elkövetők oldalán viszonylag kis erőforrásigénnyel járnak, ugyanakkor a sérülékeny szerverekre jelentős hatást gyakorolhatnak. Viszonylag kis befektetéssel lehet ugyanis az érintett kiszolgálókat megbénítani, vagy azok teljesítményét radikálisan csökkenteni.
 
A sebezhetőség háttere
 
A HTTP protokoll frissített, modernizált változatát HTTP/2 néven standardizálták 2015-ben. A célja többek között az volt, hogy növelje a korábbi HTTP protokollra épülő megoldások teljesítményét a hálózati erőforrások hatékonyabb kihasználásával, a kapcsolatok optimalizálásával és nem utolsó sorban a késleltetési idő csökkentésével.
 
A HTTP/2 lehetőséget ad az üzenetek és adatfolyamok fragmentálására. Ennek kezeléséhez nélkülözhetetlenek az úgynevezett CONTINUATION keretek, amelyekből az üzenetek fejléce többet is tartalmazhat. A sérülékenység szempontjából pedig pontosan ez az, ami igazán lényeges.

 
  a
  Tovább olvasom...   
További hírek
 
Riasztások
  1. 3
    TinyMCE biztonsági hibák

    A TinyMCE kapcsán XSS-hibákra derült fény.

  2. 4
    GLPI sérülékenységek

    A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.

  3. 3
    GitLab sérülékenységek

    Öt biztonsági rést foltoztak be a GitLab fejlesztői.

  4. 3
    FreeRDP sérülékenységek

    A FreeRDP-hez öt patch vált elérhetővé.

  5. 4
    Dell Custom VMware ESXi hibák

    A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.

  6. 4
    Google Chrome sebezhetőségek

    A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.

  7. 3
    IBM QRadar SIEM hiba

    Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.

  8. 3
    Fortinet FortiNAC-F patch

    A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.

  9. 4
    Firefox biztonsági javítások

    A Firefox legújabb kiadása számos sebezhetőséget orvosolt.

  10. 4
    CrushFTP sérülékenység

    A CrushFTP fejlesztői egy biztonsági rést foltoztak be.

 

F-Secure Total 1 év 10 eszköz
27989 Ft
ESET Home Security Premium 2 év 3 eszköz Új licenc
46990 Ft
ESET Home Security Essential 1 eszköz 2 év Nyugdíjas kedvezmény hosszabbítás
13293 Ft
Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!