HTTP პროტოკოლის 2.0 ვერსიის კრიტიკული სისუსტე

მკვლევარებმა რამდენიმე დღის წინ HTTP/2.0 ვერსიაში სისუსტე აღმოაჩინეს

HTTP პროტოკოლის 2.0 ვერსიის კრიტიკული სისუსტე

HTTP პროტოკოლის 2.0 ვერსიის კრიტიკული სისუსტე

მკვლევარებმა რამდენიმე დღის წინ HTTP/2.0 ვერსიაში სისუსტე აღმოაჩინეს, რომლის დახმარებითაც ბოლო დროის გახშირებული DDoS შეტევები მიმდინარეობდა სხვადასხვა სერვერებზე, როგორიცაა Apache, NGINX, M IIS

HTTP ქსელური პროტოკოლი წარმოადგენს HTTP/2 ის ბოლო ვერსიას, რომელიც გაშვებულია ინტერნეტ სივრცეში 2015 წლიდან.

ასევე ჩამოთვლილია სხვადასხვა სისუტეები, რომელის დახმარებითაც კიბერ კრიმინალები აქტიურობდნენ სერვერებზე

    CVE-2019-9511 — HTTP/2 "Data Dribble"
    CVE-2019-9512 — HTTP/2 "Ping Flood"
    CVE-2019-9513 — HTTP/2 "Resource Loop"
    CVE-2019-9514 — HTTP/2 "Reset Flood"
    CVE-2019-9515 — HTTP/2 "Settings Flood"
    CVE-2019-9516 — HTTP/2 "0-Length Headers Leak"
    CVE-2017-9517 — HTTP/2 "Internal Data Buffering"
    CVE-2019-9518 — HTTP/2 "Request Data/Header Flood"

აქვე უნდა აღინიშნოს, რომ შეტევის პერიოდში შემტევი კრიტიკულ სისუსტეს უტევდა ჰოსტინგ ფაერვოლის(Firewall) ბაიპასის(Bypass) მეშვეობით