ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

ایران 
ادامه »
جهان 
ادامه »
وبلاگ 
ادامه »
کلمات کلیدی 

وزارت ارتباطات

وزیر ارتباطات

کسب و کارهای اینترنتی

رگولاتوری

سازمان تنظیم مقررات و ارتباطات رادیویی

همراه اول

پلیس فتا

امنیت سایبری

شورای عالی فضای مجازی

بانک مرکزی

تلگرام

فیلترینگ

مجلس شورای اسلامی

محمد جواد آذری جهرمی

پول مجازی

شرکت مخابرات ایران

بازار موبایل

جنگ سایبری

فیس‌بوک

شبکه ملی اطلاعات

شبکه های اجتماعی

سازمان فناوری اطلاعات

زارع پور

ایرانسل

نسخه الکترونیکی

گوگل

سایت دیوار

سازمان امور مالیاتی کشور

اینترنت ایران

هوش مصنوعی

باگ‌های HTTP، سایت‌ها را در معرض حملات DoS قرار می‌دهند

| شنبه, ۲ شهریور ۱۳۹۸، ۰۵:۰۰ ب.ظ | ۰ نظر

8 آسیب‌پذیری اجرای سرور HTTP/2 (جدیدترین نسخه‌ی پروتکل HTTP) در فروشنده‌های آمازون، اپل، مایکروسافت و آپاچی یافت شد. این هشت باگ می‌توانند وبسایت‌ها در معرض حملات DoS قرار دهند. باگ‌ها در طبیعت‌شان با هم یکی هستند و می‌توانند توسط مهاجمین جهت اجرای حمله‌ی DoS، ایجاد اختلال در سرویس‌های داخلی و همچنین انکار دسترسی به وبسایت اکسپلویت شوند. به نقل از شرکت کلودفر[1]، انجام این حملات «برای کسی که از ساز و کار درونی HTTP/2 سر در می‌آورد و به حملات DoS  واقف است کار بسیار آسانی باید باشد».

به نقل از کلودفر که برای مدیریت HTTP/2 از نرم‌افزار NGINX استفاده می‌کند، این شرکت همه‌ی نمونه‌های نرم‌افزار آسیب‌پذیر را پچ کرده است: «به محض آنکه متوجه این آسیب‌پذیری‌ها شدیم، تیم پروتکل‌های کلودفر شروع کردند به رفع آن‌ها».

اپل همچنین برای اجرای HTTP/2 خود فیکس‌هایی را ارائه داده (SwiftNIO) و به مشتریان خود نیز هشدار داد که حمله‌ای روی سرور صورت گرفته که «ممکن است مقادیر بی حد و حصری از حافظه را –وقتی الگوهای مشخص ترافیک دریافت می‌کند- مصرف کرده و در نهایت دچار فرسودگی منابع شود».

HTTP/2 آپدیتِ همان پروتکل [2]HTTP (که سال 2015 معرفی شد) است. این آپدیت قرار بود جایگزین سریع‌تر، ساده‌تر و قوی‌تری از نسخه‌ی HTTP/1 باشد. HTTP پروتکلی اساسی است که در فضای اینترنت برای تبادل اطلاعات روی وب مورد استفاده قرار می‌گیرد.

تحلیل فنی این باگ‌ها توسط پژوهش‌های تیم Tenable حاکی از حمله‌‌ به سرور آسیب‌پذیر HTTP/2 می‌باشد:

«کلاینت (مهاجم) می‌تواند با ارسال درخواست‌هایی -که با مهارت ساخته شده‌ است- به سرورهای آسیب‌پذیر، از آسیب‌پذیری‌های HTTP/2 سوءاستفاده کند. گرچه این درخواست‌ها متفاوت خواهند بود اما یک سرور آسیب‌پذیر برای پردازش درخواست و ارسال پاسخ تلاش خواهد کرد. با این وجود، کلاینت آلوده پاسخ را نادیده می‌گیرد و همین به مصرف بیش از اندازه‌ی منابع می‌شود که می‌تواند در نهایت به  DoS ختم شود».

جاناتان لونی، محقق نتفلیکس موفق به هفت تا از آن هشت باگ شده است (CVE-2019-9511، CVE-2019-9512, CVE-2019-9513، CVE-2019-9514، CVE-2019-9515، CVE-2019-9516، CVE-2019-9517). پیوتر سیکورا نماینده تیم امنیت گوگل نیز باگ دیگر را پیدا کرد (CVE-2019-9518).

فهرست کامل فروشنده‌هایی که از این آسیب‌پذیری‌ها لطمه خوردند:

Apple، Akamai، Ambassador (API Gateway)، Apache Traffic Serve، Cloudflare (Proxy)، Google (Golang)، Microsoft، Netty Project، nghttp2، Node.js و Swift.

 

[1] Cloudflare

[2]  Hypertext Transfer Protocol

منبع: کسپرسکی آنلاین

 تهیه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ 

  • ۹۸/۰۶/۰۲

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
نقل مطالب سایت باذکر منبع مجاز است
قدرت گرفته از بیان