Обнаружена критическая уязвимость в протоколе HTTP/2, позволяющая осуществлять удаленные атаки типа «отказ в обслуживании». Популярные серверы, такие как NGINX, Apache, IIS, Envoy и Cloudflare, подвержены риску. Злоумышленники могут вывести веб-сайты из строя, нарушив покупки, транзакции или повседневный доступ к информации. Немедленным решением является установка исправлений безопасности для предотвращения сбоев в работе критически важных сервисов.
Ошибка эксплуатирует управление потоками в HTTP/2 🔥
Уязвимость заключается в том, как HTTP/2 обрабатывает одновременные потоки. Злоумышленник отправляет множество запросов, вынуждающих сервер потреблять память и ресурсы процессора до полного отказа. Это затрагивает конфигурации по умолчанию в NGINX, Apache, IIS и Envoy. Cloudflare уже внедрила меры по смягчению последствий, но администраторам необходимо проверить свои версии. Без исправления одна единственная атака может вывести из строя критически важный сервис, не требуя большой пропускной способности.
Еще одна причина не спать спокойно сисадмину 😅
Если вам было мало исправлений для Log4j, SSL и ядра каждый вторник, теперь HTTP/2 дарит вам новый кошмар. Самое приятное, что эта ошибка позволяет обрушить ваш сервер с меньшими усилиями, чем вы тратите на оправдания, почему не установили обновление. Так что вы знаете: кофе, патч и молитва, чтобы у злоумышленников нашлись дела поважнее в воскресенье.