terça-feira , 20 outubro 2020

HTTP bugs: encontradas oito vulnerabilidades nos servidores da Amazon, Apple, Microsoft e Apache

Oito vulnerabilidades nas implementações do servidor HTTP / 2 foram encontradas nos fornecedores Amazon, Apple, Microsoft e Apache.

Oito bugs na implementação do HTTP / 2, a versão mais recente do protocolo HTTP, podem ser explorados para iniciar ataques de negação de serviço.

 As falhas foram encontradas em configurações de servidores de fornecedores, como Amazon, Google, Microsoft e Apache.

Os bugs são semelhantes em natureza e podem ser explorados por adversários para realizar um ataque de negação de serviço (DoS) e interromper os serviços de Internet e negar acesso a sites.

 Segundo a Cloudflare, a realização de ataques “deve ser bastante fácil para alguém que entenda internals HTTP / 2 e ataques DoS”.

A Cloudflare, que usa o software NGINX para lidar com HTTP / 2, disse que corrigiu todas as instâncias do software vulnerável. “Assim que nos tornamos conscientes dessas vulnerabilidades, a equipe de Protocolos da Cloudflare começou a trabalhar para corrigi-los”, escreveu em um comunicado.

A Apple também lançou correções para sua implantação do HTTP / 2 (SwiftNIO), observando para seus clientes que um ataque em um servidor “pode ​​consumir quantidades ilimitadas de memória ao receber certos padrões de tráfego e, eventualmente, sofrer exaustão de recursos”.

O HTTP / 2 é uma atualização do protocolo HTTP, google.com/web/fundamentals/performance/http2/” target=”_blank” rel=”noreferrer noopener”>introduzido em  . A atualização foi concebida como uma alternativa mais rápida, mais simples e mais robusta ao HTTP / 1. Hypertext Transfer Protocol (HTTP) é um protocolo fundamental usado na internet para troca de dados na web.

Uma análise técnica dos erros pela pesquisa da Tenable descreve um ataque contra uma implementação vulnerável do servidor HTTP / 2 como tal:

“Um cliente (o atacante) pode explorar essas vulnerabilidades HTTP / 2 enviando solicitações especialmente criadas a servidores vulneráveis.

 Embora essas solicitações variem, um servidor vulnerável tentará processar a solicitação e tentar enviar uma resposta.

 No entanto, o cliente malicioso ignora a resposta, levando ao excesso de consumo de recursos, o que resultaria em uma negação de serviço (DoS) ”.

Jonathan Looney , pesquisador da Netflix, é responsável por encontrar sete dos bugs ( CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE -2019-9517 ). Piotr Sikora, do Google, Envoy Security Team, é creditado por encontrar um bug adicional ( CVE-2019-9518 ).

Uma lista completa de fornecedores afetados inclui: Apple , akamai.com/sitr/2019/08/http2-vulnerabilities.

html” target=”_blank” rel=”noreferrer noopener”>Akamai , Ambassador (API Gateway), apache.org/thread.html/ad3d01e767199c1aed8033bb6b3f5bf98c011c7c536f07a5d34b3c19@%3Cannounce.trafficserver.apache.org%3E” target=”_blank” rel=”noreferrer noopener”>Apache Traffic Server , CloudFlare , Envoy (Proxy), google.com/forum/#!topic/golang-nuts/fCQWxqxP8aA” target=”_blank” rel=”noreferrer noopener”>Google (Golang), Microsoft, Projeto Netty , nghttp2 , Nginx , org/en/blog/vulnerability/aug-2019-security-releases/” target=”_blank” rel=”noreferrer noopener”>Node.js e Swift .

Sobre Redação UpLinkBr

Suporte do website UpLinkBr, envie seu email ou dívida para suporte@uplinkbr.com