форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Серия уязвимостей в реализациях HTTP/2"	+/–
Сообщение от opennews (??) on 06-Авг-16, 09:14
Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-n...) на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены четыре концептуальные уязвимости, проявляющиеся в различных  реализациях HTTP/2 и приводящие к отказу в обслуживании. Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_eleme...) 2.3%, а месяц назад 8.4%. Выявленные техники атак: -  Slow Read - метод аналогичен известной DDoS-атаке Slowloris, при которой клиент принимает ответ на запрос очень медленно, что позволяет исчерпать лимит на число активных соединений. Атаке подвержены реализации HTTP/2 в  Apache, IIS, Jetty, NGINX и nghttp2. Разработчики nginx сообщили (https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../), что проблема была устранена в феврале в выпуске  NGINX 1.9.12, актуальные выпуски NGINX уязвимости не подвержены; -   HPACK Bomb - атака через манипуляцию сжатыми запросами, аналогичная по своей сути "zip-бомбе". Суть метода в передаче небольших сжатых сообщений, которые на сервере распаковываются в гигабайты данных и приводят к исчерпанию доступных ресурсов; -  Dependency Cycle Attack - метод построен на манипуляции механизмами управления потоком, применяемым в HTTP/2 для сетевой оптимизации. Атакующий может отправить специально оформленные запросы, которые приведут к взаимному использованию зависимостей и бесконечному зацикливанию при попытке обработать такие запросы. Проблема проявляется в Apache httpd и библиотеке nghttpd2 (https://nghttp2.org/). -   Stream Multiplexing Abuse - атака нацелена на эксплуатацию недоработок в реализациях механизма мультиплексирования потоков в одном соединении и может привести к краху серверного процесса. URL: https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=44925
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Серия уязвимостей в реализациях HTTP/2"	+/–
Сообщение от Аноним (??) on 06-Авг-16, 09:14
А разве nginx подвержен slow read?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Серия уязвимостей в реализациях HTTP/2"	+1 +/–
	Сообщение от Аноним (??) on 06-Авг-16, 09:40
	В реализации мультиплексора соединений HTTP/2.0
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 06-Авг-16, 19:09
	Поправка. В _старой_ реализации, так что пострадали только ССЗБ, использующие mainline.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	15. "Серия уязвимостей в реализациях HTTP/2"	+2 +/–
	Сообщение от Аноним (??) on 07-Авг-16, 04:33
	в mainline тоже давным-давно исправлено. Пострадали ССЗБ, использующие mainline полугодовалой давности.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. "Серия уязвимостей в реализациях HTTP/2"	–2 +/–
Сообщение от Аноним (??) on 06-Авг-16, 09:40
Капитанские уязвимости
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Серия уязвимостей в реализациях HTTP/2"	+5 +/–
	Сообщение от Аноним (??) on 06-Авг-16, 23:48
	Где ж ты раньше был, Капитан?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Серия уязвимостей в реализациях HTTP/2"	+8 +/–
Сообщение от FSA (??) on 06-Авг-16, 09:56
А что означает табличка? Галка - это где уязвимость есть? Но тогда почему у Nginx  на slow read стоит, они же исправили уже? Или эта галка означает, что исправили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Серия уязвимостей в реализациях HTTP/2"	+1 +/–
	Сообщение от arka on 06-Авг-16, 21:44
	Нет, эта галка сообщала, что на время проверки nginx 1.9.9 был подвержен этой атаке, но после информирования Сысоев и Ко прикрыли её в 1.9.12 и т.д.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Серия уязвимостей в реализациях HTTP/2"	+/–
Сообщение от Аноним (??) on 06-Авг-16, 11:21
h2o неуязвим или не проверяли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Серия уязвимостей в реализациях HTTP/2"	+9 +/–
	Сообщение от A.Stahl (ok) on 06-Авг-16, 12:04
	О нём даже не слышали...
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 06-Авг-16, 15:39
	h2o это частная реализация http2/spdy в общем-то основана на перечисленном/упомянутом в, так что весьма вероятно. плюс слабые места - Общие, системные для HTTP2 и тут костыль потребуется Всем сервисам скорее всего. если вам принципиально - мигруируйте с h2o на n2o, оно секьюрнее. ну и быстрее ко всему.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 06-Авг-16, 15:41
	с ковбоем на пару - нормально у меня прижился, вроде.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Серия уязвимостей в реализациях HTTP/2"	+1 +/–
	Сообщение от Аноним (??) on 06-Авг-16, 23:51
	> h2o это частная реализация http2/spdy в общем-то основана на перечисленном/упомянутом Перечмслнго штуки 4 совершенно разных реализации. На которой их них основан h2o? > если вам принципиально - мигруируйте с h2o на n2o, оно секьюрнее. ну > и быстрее ко всему. И что ха гнилой пиар? Как насчет пруфов, особенно по части секурности?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 07-Авг-16, 01:27
	А я подумал про русалочек из H2O...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	16. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 07-Авг-16, 08:16
	Не проверяли. На slow post можете сами проверить - curl --http2 -d @-, а уж stdin "тормозите" чем угодно, хоть ручками.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	18. "Серия уязвимостей в реализациях HTTP/2"	–1 +/–
	Сообщение от Xasd (ok) on 07-Авг-16, 23:54
	идиот? чем делать возню с stdin -- проще свою простую реализацию клиента запилить.. и на ней уже slow post и slow read
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	23. "Серия уязвимостей в реализациях HTTP/2"	+1 +/–
	Сообщение от Аноним (??) on 10-Авг-16, 03:08
	"проще свою простую реализацию запилить" вот из таких соображений и появился systemd
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Andrey Mitrofanov on 10-Авг-16, 09:32
	> "проще свою простую реализацию запилить" > вот из таких соображений и появился HTTP/2 </fix></грусть народа>
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Аноним (??) on 11-Авг-16, 19:15
	И это тоже. Как и systemd, http/2 создает больше проблем, чем решает.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

17. "Серия уязвимостей в реализациях HTTP/2"	–2 +/–
Сообщение от Аноним (??) on 07-Авг-16, 22:33
slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от Xasd (ok) on 07-Авг-16, 23:58
	> slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла таймаут на весь этап hello-и-обмена-заголовками .. а уж внутри чего оно там произошло -- уже не важно. вот именно так должно было бы работать в идеале
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	20. "Серия уязвимостей в реализациях HTTP/2"	+/–
	Сообщение от angra (ok) on 08-Авг-16, 03:14
	Ага, а еще для недоадминов должна сущестовать кнопка "правильно настроить сервер". Ты бы хоть глянул сколько в ядре параметров для контроля TCP, многие из которых так или иначе влияют на этот вектор атаки.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	21. "Серия уязвимостей в реализациях HTTP/2"	+1 +/–
	Сообщение от Аноним (??) on 08-Авг-16, 12:24
	эх а кто-то по медленному каналу потихоньку видеоархив передавал :)
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	22. "Серия уязвимостей в реализациях HTTP/2"	+2 +/–
	Сообщение от Аноним (??) on 08-Авг-16, 16:19
	> slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла Знаешь, разбирать L7 из фаера, особено когда он шифрованный и сессионный ключ есть только у апликухи которая эти данные гоняет - не совсем перспективно. А без этого можно легитимные конекции порубать.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема