The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Серия уязвимостей в реализациях HTTP/2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от opennews (??) on 06-Авг-16, 09:14 
Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-n...) на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены четыре концептуальные уязвимости, проявляющиеся в различных  реализациях HTTP/2 и приводящие к отказу в обслуживании.


Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_eleme...) 2.3%, а месяц назад 8.4%.

Выявленные техники атак:

-  Slow Read - метод аналогичен известной DDoS-атаке
Slowloris, при которой клиент принимает ответ на запрос очень медленно, что позволяет исчерпать лимит на число активных соединений.
Атаке подвержены реализации HTTP/2 в  Apache, IIS, Jetty, NGINX и nghttp2. Разработчики nginx сообщили (https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../), что проблема была устранена в феврале в выпуске  NGINX 1.9.12, актуальные выпуски NGINX уязвимости не подвержены;


-   HPACK Bomb - атака через манипуляцию сжатыми запросами, аналогичная по своей сути "zip-бомбе". Суть метода в передаче небольших сжатых сообщений, которые на сервере распаковываются в гигабайты данных и приводят к исчерпанию доступных ресурсов;


-  Dependency Cycle Attack - метод построен на манипуляции механизмами управления потоком, применяемым в HTTP/2 для сетевой оптимизации. Атакующий может отправить специально оформленные запросы, которые приведут к взаимному использованию зависимостей и бесконечному зацикливанию при попытке обработать такие запросы. Проблема проявляется в Apache httpd и библиотеке nghttpd2 (https://nghttp2.org/).

-   Stream Multiplexing Abuse - атака нацелена на эксплуатацию недоработок в реализациях механизма мультиплексирования потоков в одном соединении и может привести к краху серверного процесса.

URL: https://www.nginx.com/blog/the-imperva-http2-vulnerability-r.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=44925

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 06-Авг-16, 09:14 
А разве nginx подвержен slow read?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Серия уязвимостей в реализациях HTTP/2"  +1 +/
Сообщение от Аноним (??) on 06-Авг-16, 09:40 
В реализации мультиплексора соединений HTTP/2.0
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 06-Авг-16, 19:09 
Поправка. В _старой_ реализации, так что пострадали только ССЗБ, использующие mainline.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Серия уязвимостей в реализациях HTTP/2"  +2 +/
Сообщение от Аноним (??) on 07-Авг-16, 04:33 
в mainline тоже давным-давно исправлено. Пострадали ССЗБ, использующие mainline полугодовалой давности.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. "Серия уязвимостей в реализациях HTTP/2"  –2 +/
Сообщение от Аноним (??) on 06-Авг-16, 09:40 
Капитанские уязвимости
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Серия уязвимостей в реализациях HTTP/2"  +5 +/
Сообщение от Аноним (??) on 06-Авг-16, 23:48 
Где ж ты раньше был, Капитан?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Серия уязвимостей в реализациях HTTP/2"  +8 +/
Сообщение от FSA (??) on 06-Авг-16, 09:56 
А что означает табличка? Галка - это где уязвимость есть? Но тогда почему у Nginx  на slow read стоит, они же исправили уже? Или эта галка означает, что исправили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Серия уязвимостей в реализациях HTTP/2"  +1 +/
Сообщение от arka on 06-Авг-16, 21:44 
Нет, эта галка сообщала, что на время проверки nginx 1.9.9 был подвержен этой атаке, но после информирования Сысоев и Ко прикрыли её в 1.9.12 и т.д.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 06-Авг-16, 11:21 
h2o неуязвим или не проверяли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Серия уязвимостей в реализациях HTTP/2"  +9 +/
Сообщение от A.Stahl (ok) on 06-Авг-16, 12:04 
О нём даже не слышали...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 06-Авг-16, 15:39 
h2o это частная реализация http2/spdy в общем-то основана на перечисленном/упомянутом в, так что весьма вероятно.
плюс слабые места - Общие, системные для HTTP2 и тут костыль потребуется Всем сервисам скорее всего.
если вам принципиально - мигруируйте с h2o на n2o, оно секьюрнее. ну и быстрее ко всему.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 06-Авг-16, 15:41 
с ковбоем на пару - нормально у меня прижился, вроде.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Серия уязвимостей в реализациях HTTP/2"  +1 +/
Сообщение от Аноним (??) on 06-Авг-16, 23:51 
> h2o это частная реализация http2/spdy в общем-то основана на перечисленном/упомянутом

Перечмслнго штуки 4 совершенно разных реализации. На которой их них основан h2o?

> если вам принципиально - мигруируйте с h2o на n2o, оно секьюрнее. ну
> и быстрее ко всему.

И что ха гнилой пиар? Как насчет пруфов, особенно по части секурности?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 07-Авг-16, 01:27 
А я подумал про русалочек из H2O...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 07-Авг-16, 08:16 
Не проверяли.
На slow post можете сами проверить - curl --http2 -d @-, а уж stdin "тормозите" чем угодно, хоть ручками.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Серия уязвимостей в реализациях HTTP/2"  –1 +/
Сообщение от Xasd (ok) on 07-Авг-16, 23:54 
идиот?

чем делать возню с stdin -- проще свою простую реализацию клиента запилить.. и на ней уже slow post и slow read

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Серия уязвимостей в реализациях HTTP/2"  +1 +/
Сообщение от Аноним (??) on 10-Авг-16, 03:08 
"проще свою простую реализацию запилить"

вот из таких соображений и появился systemd

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Andrey Mitrofanov on 10-Авг-16, 09:32 
> "проще свою простую реализацию запилить"
> вот из таких соображений и появился HTTP/2

</fix></грусть народа>


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Аноним (??) on 11-Авг-16, 19:15 
И это тоже. Как и systemd, http/2 создает больше проблем, чем решает.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

17. "Серия уязвимостей в реализациях HTTP/2"  –2 +/
Сообщение от Аноним (??) on 07-Авг-16, 22:33 
slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от Xasd (ok) on 07-Авг-16, 23:58 
> slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла

таймаут на весь этап hello-и-обмена-заголовками .. а уж внутри чего оно там произошло -- уже не важно. вот именно так должно было бы работать в идеале

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Серия уязвимостей в реализациях HTTP/2"  +/
Сообщение от angra (ok) on 08-Авг-16, 03:14 
Ага, а еще для недоадминов должна сущестовать кнопка "правильно настроить сервер". Ты бы хоть глянул сколько в ядре параметров для контроля TCP, многие из которых так или иначе влияют на этот вектор атаки.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Серия уязвимостей в реализациях HTTP/2"  +1 +/
Сообщение от Аноним (??) on 08-Авг-16, 12:24 
эх а кто-то по медленному каналу потихоньку видеоархив передавал :)
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Серия уязвимостей в реализациях HTTP/2"  +2 +/
Сообщение от Аноним (??) on 08-Авг-16, 16:19 
> slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла

Знаешь, разбирать L7 из фаера, особено когда он шифрованный и сессионный ключ есть только у апликухи которая эти данные гоняет - не совсем перспективно. А без этого можно легитимные конекции порубать.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor