http/2

HTTP/2 : 8 failles d’implémentations peuvent causer des dénis de services

Plusieurs implémentations de HTTP/2, la dernière version du protocole réseau HTTP, est vulnérables à cause de multiple failles qui affectent les logiciels de serveur web les plus populaires, y compris Apache, IIS de Microsoft et NGINX.

Lancé en Mai 2015, HTTP/2 a été conçu pour assurer plus de sécurité et une meilleure expérience en ligne en améliorant le temps de chargement des pages web. Aujourd’hui, plus d’une centaine de millions de sites (prés de 40% des sites sur Internet) utilisent ce protocole.

Parmi les 8 vulnérabilités, sept ont été découverte par Jonathan Looney de Netflix et une par Piotr Sikora de Google. Elles existent à cause d’un épuisement de ressource lors de la manipulation d’entrées malveillantes, permettant au client de surcharger le code de gestion de la file d’attente du serveur.

Les vulnérabilités peuvent être exploité en lançant des attaques de déni de service (DoS) contre les millions de services en ligne et les sites hébergés sur un serveur web ayant une implémentation vulnérable.

Scénario d’attaque: Un client malveillant demande à un serveur vulnérable ciblé de faire quelque chose, cela génère une réponse mais ensuite le client refuse de lire la réponse, le forçant à consommer plus de mémoire et de ressources de processeur pour traiter les requêtes.

“Ces failles permettent à un petit nombre de sessions malicieuses à faible débit d’empêcher aux participants de la connexion d’ajouter du travail supplémentaire. Ces attaques épuisent les ressources pour que les autres connexions ou processus sur la même machines soient impactées,” a expliqué Netflix dans un rapport.

Détails sur ces vulnérabilités d’implémentations de HTTP/2

La plupart des vulnérabilités listées affectent la couche de transport:

  1. CVE-2019-9511 — HTTP/2 “Data Dribble”
  2. CVE-2019-9512 — HTTP/2 “Ping Flood”
  3. CVE-2019-9513 — HTTP/2 “Resource Loop”
  4. CVE-2019-9514 — HTTP/2 “Reset Flood”
  5. CVE-2019-9515 — HTTP/2 “Settings Flood”
  6. CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  7. CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  8. CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

“Certaines sont assez efficaces et permettent à un système de causer des ravages sur plusieurs serveurs. Les autres attaques sont moins efficaces; cependant, même les attaques moins efficaces peuvent permettre des attaques de déni de services distribuées qui sont difficiles à détecter et à bloquer,” déclare le rapport.

Il faut préciser que les vulnérabilités peuvent seulement être utilisé pour provoquer un déni de service et ne permet pas aux pirates de compromettre la confidentialité ou l’intégrité des données contenus dans les serveurs vulnérables.

L’équipe de sécurité de Netflix, qui s’est associé à Google et au centre de coordination CERT pour divulgué ces failles, a découvert 7 failles parmi les 8 failles dans les implémentation de serveurs en Mai 2019 et les a signalé à toutes les personnes concernées.

Selon CERT, les compagnies affectées sont NGINXApacheH2O, Nghttp2, Microsoft (IIS), CloudflareAkamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js, et le proxy Envoy. La plupart d’entre elles ont déjà partagé des patchs et des rapports de sécurité.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de