本周早些时候,研究职员公布了一个与HTTP/2协议干系的新漏洞,该漏洞可能会使易受攻击的系统面临谢绝做事(DoS)攻击的风险。安全研究员Bartek Nowotarski于1月25日向卡内基梅隆大学打算机应急小组(CERT)折衷中央报告了这一问题,引起了业界的广泛关注。
该漏洞被称为“HTTP/2 CONTINUATION Flood”,它利用了HTTP/2实现中配置不当的部分,这些实现未能对要求数据流中的CONTINUATION帧进行限定或净化。CONTINUATION帧用于延续报头块片段序列,许可报头块在多个帧等分割。然而,如果HTTP/2实现未对单个数据流中可发送的CONTINUATION帧数量进行限定,就可能使系统面临严重的安全风险。
攻击者可以通过向未设置END_HEADERS标志的易受攻击做事器发送HTTP要求,持续发送大量的CONTINUATION帧流,从而耗尽做事器的内存资源,终极导致做事器崩溃,实现成功的谢绝做事攻击。此外,CERT还提到了一种变种攻击办法,即通过利用HPACK Huffman编码的CONTINUATION帧来耗尽CPU资源,同样能够导致DoS攻击的成功。
Nowotarski指出,这种攻击办法的威胁性极高,由于单台机器乃至单个TCP连接都有可能毁坏做事器的可用性,造成从做事崩溃到性能低落等各种严重后果。与传统的分布式谢绝做事(DDoS)攻击不同,DoS攻击更加暗藏,它可以通过单个设备向目标做事器发送大量要求来耗尽其资源,从而制造虚假网络流量。
目前,与该新漏洞干系的几个常见漏洞和暴露(CVE)记录已经创建,包括涉及amphp/http、Apache HTTP Server等多个组件的漏洞。这些CVE记录详细描述了漏洞的性子和潜在影响,为干系机构和用户供应了必要的参考信息。
针对这一漏洞,干系厂商和用户应尽快采纳相应的安全方法。一方面,须要确保HTTP/2实现的精确配置和安全更新,限定或净化要求数据流中的CONTINUATION帧。另一方面,用户应保持当心,避免访问可疑的网站或做事,以减少受到攻击的风险。
这次创造的HTTP/2新漏洞再次提醒我们,网络安全问题不容忽略。我们须要不断加强对新兴技能的研究和理解,及时创造和解决潜在的安全隐患,确保网络环境的稳定和安全。
