Minden, amit a HTTP/2-féle hibáról tudni érdemes
Összegyűjtöttük a legfontosabb információkat a HTTP/2 kapcsán feltárt sérülékenységről és a kockázatcsökkentési lehetőségekről.
Barket Nowotarski biztonsági kutató nevéhez fűződik az a felfedezés, amely a HTTP/2 protokoll egyes - széles körben is használatos - implementációival kapcsolatban hozott felszínre egy súlyos sebezhetőséget, illetve ezzel párhuzamosan egy új típusú támadási technikát. Ennek neve CONTINUATION Flood. Az ilyen típusú támadások az elkövetők oldalán viszonylag kis erőforrásigénnyel járnak, ugyanakkor a sérülékeny szerverekre jelentős hatást gyakorolhatnak. Viszonylag kis befektetéssel lehet ugyanis az érintett kiszolgálókat megbénítani, vagy azok teljesítményét radikálisan csökkenteni.
A sebezhetőség háttere
A HTTP protokoll frissített, modernizált változatát HTTP/2 néven standardizálták 2015-ben. A célja többek között az volt, hogy növelje a korábbi HTTP protokollra épülő megoldások teljesítményét a hálózati erőforrások hatékonyabb kihasználásával, a kapcsolatok optimalizálásával és nem utolsó sorban a késleltetési idő csökkentésével.
A HTTP/2 lehetőséget ad az üzenetek és adatfolyamok fragmentálására. Ennek kezeléséhez nélkülözhetetlenek az úgynevezett CONTINUATION keretek, amelyekből az üzenetek fejléce többet is tartalmazhat. A sérülékenység szempontjából pedig pontosan ez az, ami igazán lényeges.
-
Az IBM Db2 egy újabb biztonsági javítással bővült.
-
A Docker fejlesztői egy több éve létező biztonsági rést foltoztak be.
-
A Trend Micro VPN Proxy One Pro egy biztonsági hiba miatt kapott frissítést.
-
Négy biztonsági hiba látott napvilágot az ISC BIND kapcsán.
-
Több mint egy tucat biztonsági javítással érkezett meg a legújabb Chrome verzió.
-
A Zyxel számos vezeték nélküli hozzáférési ponthoz adott ki biztonsági frissítést.
-
A Juniper több hibát javított a Junos OS-ben.
-
A Vtiger CRM két biztonsági hiba miatt kapott frissítést.
-
Az IBM WebSphere Application Serverhez egy biztonsági frissítés vált letölthetővé.
-
A SolarWinds kritikus sebezhetőségeket is orvosolt az ARM esetében.
A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne?
Az ESET legújabb Threat Report jelentése átfogó képet ad az ESET szakértői csapata által 2023 decemberétől 2024 májusáig megfigyelt fenyegetettségi trendekről.
