Cybersicherheitsforscher haben kürzlich eine neue Schwachstelle im HTTP/2-Protokoll entdeckt, die es Bedrohungsakteuren ermöglicht, Denial-of-Service-Angriffe (DoS) durchzuführen und sogar Server mit einer einzigen TCP-Verbindung zum Absturz zu bringen.
Die Schwachstelle bezieht sich auf die Verwendung von HTTP/2 CONTINUATION-Frames, weshalb der Forscher, der sie gefunden hat, Barket Nowotarski, sie „CONTINUATION Flood“ nannte.
Wie erklärt von BleepingComputerHTTP/2 ist die aktualisierte Version des HTTP-Protokolls, das 2015 standardisiert wurde. Ziel war es, die Webleistung durch die Einführung von binärem Framing für eine effiziente Datenübertragung, Multiplexing, das mehrere Anfragen und Antworten über eine einzige Verbindung ermöglichte, und Header-Komprimierung, die reduziert wurde, zu verbessern Overhead.
Mehrere CVEs
Bei HTTP/2-Nachrichten werden Header- und Trailer-Abschnitte serialisiert und in Blöcken platziert, die später für die Übertragung fragmentiert werden können. Anschließend werden CONTINUATION-Frames verwendet, um sie zusammenzufügen. Aufgrund fehlender ordnungsgemäßer Frame-Prüfungen kann ein Bedrohungsakteur jedoch zu lange Frames senden. Bei dem Versuch, diese Frames zu verarbeiten, kann die CPU abstürzen.
„Out of Memory sind wahrscheinlich die langweiligsten und zugleich schwerwiegendsten Fälle. Daran ist nichts Besonderes: keine seltsame Logik, keine interessante Rennbedingung und so weiter“, sagte Nowotarski. „Die Implementierungen, die OOM ermöglichen, haben die Größe der Header-Liste, die mit CONTINUATION-Frames erstellt wurde, einfach nicht begrenzt.“
„Implementierungen ohne Header-Timeout erforderten nur eine einzige HTTP/2-Verbindung, um den Server zum Absturz zu bringen.“
Abhängig von der Implementierung von HTTP/2 werden die Schwachstellen unter einem anderen CVE verfolgt. Einige sind störender als andere und können zu DoS-Angriffen, Speicherlecks, Speicherverbrauch und mehr führen:
Abonnieren Sie den TechRadar Pro-Newsletter, um alle wichtigen Neuigkeiten, Meinungen, Funktionen und Anleitungen zu erhalten, die Ihr Unternehmen für den Erfolg benötigt!
CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309 und CVE -2024-30255.
Red Hat, SUSE Linux, Arista Networks, Apache HTTP Server Project, nghttp2, Node.js, AMPHP und die Programmiersprache Go haben seitdem alle bestätigt, dass sie für mindestens eines dieser CVEs anfällig sind. BleepingComputer gefunden.