Ny sårbarhet i HTTP2-protokollet

2024-04-08 00:20

Medlem ★

Registrerad: Jul 2022

●

Ny sårbarhet i HTTP2-protokollet

Tjo! Jag såg i nån Discord där det länkade till en nyhet (2024-04-04) om en ny sårbarhet i HTTP2-protokollet: https://www.bleepingcomputer.com/news/security/new-http-2-dos...

Här finns mer teknisk information samt testkod: https://nowotarski.info/http2-continuation-flood-technical-de...

Kortfattat - utan att jag kan något om HTTP2-protokollet - så verkar det handla om att oändligt antal av "frames" av slaget "CONTINUATION" skickas efter första "frame" med "HEADERS" utan att någon "END_HEADERS"-flagga skickas med. Då kan det "loopas" i evigheter på serversidan tills att servern kraschar pga. CPU-utmattning, minnesbrist, och/eller race bug.

Mvh,
WKL.

Visa signatur

"Den säkraste koden är den som aldrig skrivs"

Rapportera Redigera

Citera flera Citera (1)

2024-04-09 21:40

Permalänk

Aphex

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Möjligt att ni redan löst de här problemen, men vi frontend-idioter har hittat på ett nytt protokoll som ligger ovanpå erat, som pajar allt igen! Vad sa ni nu, va?!

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Rapportera Redigera

Citera flera Citera (3)

2024-04-11 13:13

Permalänk

blunden

Medlem ★

Plats: Stockholm
Registrerad: Dec 2003

●

Gällde flera olika webbservrar, men inte alla. De flesta bör ha fått en patch vid det här laget eftersom det var en koordinerad release där de haft flera månader på sig att släppa en patch.

Visa signatur

Rapportera Redigera

Citera flera Citera

Ny sårbarhet i HTTP2-protokollet

Ny sårbarhet i HTTP2-protokollet

Externa nyheter

Spelnyheter från FZ