Une faille critique dans le protocole HTTP/2 permettant des attaques par déni de service à distance a été détectée. Des serveurs populaires comme NGINX, Apache, IIS, Envoy et Cloudflare sont exposés. Les attaquants peuvent mettre des sites web hors ligne, affectant les achats, les démarches ou les informations quotidiennes. La solution immédiate est d'appliquer des correctifs de sécurité pour éviter des interruptions dans les services essentiels.
La faille exploite la gestion des flux dans HTTP/2 🔥
La vulnérabilité réside dans la manière dont HTTP/2 gère les flux concurrents. Un attaquant envoie de multiples requêtes qui obligent le serveur à consommer de la mémoire et du CPU jusqu'à l'effondrement. Cela affecte les configurations par défaut de NGINX, Apache, IIS et Envoy. Cloudflare a déjà mis en place des mesures d'atténuation, mais les administrateurs doivent vérifier leurs versions. Sans correctif, une seule attaque peut faire tomber un service critique sans nécessiter une grande bande passante.
Une raison de plus pour ne pas dormir tranquille en tant que sysadmin 😅
Comme si tu n'en avais pas assez avec les correctifs de Log4j, SSL et du noyau chaque mardi, HTTP/2 t'offre maintenant un nouveau cauchemar. Le meilleur, c'est que la faille permet de faire tomber ton serveur avec moins d'effort que celui que tu mets à justifier pourquoi tu n'as pas mis à jour. Alors tu sais quoi : café, correctif, et prie pour que les attaquants aient mieux à faire un dimanche.