Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение > Windows

Уязвимость в IIS позволяет вывести из строя компьютер : Windows

28.03.2024 17:18


23.02.2019 15:01
Occul
 



Компания Microsoft в своей технологии для web-серверов Internet Information Services (IIS) уязвимость, позволяющую вывести из строя компьютер. С ее помощью злоумышленник может вызвать стопроцентную загрузку центрального процессора, заставив IIS обрабатывать особым образом сформированный запрос HTTP/2, и тем самым спровоцировать отказ в обслуживании.

HTTP/2 представляет собой новейшую версию протокола HTTP. Как сообщается в уведомлении Microsoft, в определенных обстоятельствах при обработке HTTP/2 набор серверов IIS загружает ЦП на 100% и может вызвать замедление, а то и вовсе прекращение работы компьютера.

Проблему обнаружил специалист компании F5 Networks Галь Гольдштейн (Gal Goldshtein). На сегодняшний день никаких иных описаний уязвимости помимо официального уведомления Microsoft не существует. «Спецификация HTTP/2 позволяет клиенту установить любое количество фреймов SETTINGS с любым количеством параметров SETTINGS. В некоторых случаях слишком большое число SETTINGS может сделать работу сервисов нестабильной и вызвать временный резкий скачок нагрузки на ЦП до тех пор, пока не истечет время соединения», - говорится в уведомлении.

Microsoft исправила проблему, реализовав возможность устанавливать лимит на количество параметров SETTINGS в запросе HTTP/2, которое IIS в состоянии обработать. Уязвимость была исправлена на этой неделе с выходом обновлений KB4487006, KB4487011, KB4487021 и KB4487029. Ограничение на количество параметров SETTINGS не является предустановленным, и после развертывания патчей системные администраторы должны установить его самостоятельно.
23.02.2019 15:01
OlegON
 
Интересно, а есть отмороженные, кто рискует IIS выставить дальше интранета? :)
Часовой пояс GMT +3, время: 17:18.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.