Goodnews.ua


Уязвимость в IIS позволяет вывести из строя компьютер

Февраль 22
10:06 2019

Компания Microsoft исправила в своей технологии для web-серверов Internet Information Services (IIS) уязвимость, позволяющую вывести из строя компьютер. С ее помощью злоумышленник может вызвать стопроцентную загрузку центрального процессора, заставив IIS обрабатывать особым образом сформированный запрос HTTP/2, и тем самым спровоцировать отказ в обслуживании.

HTTP/2 представляет собой новейшую версию протокола HTTP. Как сообщается в уведомлении Microsoft, в определенных обстоятельствах при обработке HTTP/2 набор серверов IIS загружает ЦП на 100% и может вызвать замедление, а то и вовсе прекращение работы компьютера.

Проблему обнаружил специалист компании F5 Networks Галь Гольдштейн (Gal Goldshtein). На сегодняшний день никаких иных описаний уязвимости помимо официального уведомления Microsoft не существует. «Спецификация HTTP/2 позволяет клиенту установить любое количество фреймов SETTINGS с любым количеством параметров SETTINGS. В некоторых случаях слишком большое число SETTINGS может сделать работу сервисов нестабильной и вызвать временный резкий скачок нагрузки на ЦП до тех пор, пока не истечет время соединения», — говорится в уведомлении.

Microsoft исправила проблему, реализовав возможность устанавливать лимит на количество параметров SETTINGS в запросе HTTP/2, которое IIS в состоянии обработать. Уязвимость была исправлена на этой неделе с выходом обновлений KB4487006, KB4487011, KB4487021 и KB4487029. Ограничение на количество параметров SETTINGS не является предустановленным, и после развертывания патчей системные администраторы должны установить его самостоятельно.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Синнер — победитель Итогового турнира ATP

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua