最新HTTP/2漏洞曝光,直指Kubernetes!

国际新闻 阅读(1763)

针对Kubernetes的最新HTTP/2漏洞披露!我想在CSDN 2天前分享这个数据时代,应用横冲直撞,漏洞的出现早已屡见不鲜。在造成大面积破坏之前我们该如何采取防御措施?也许我们可以从过去经常发生的事件中得到一些启发。最近,Netflix,Google和CERT/CC披露了与HTTP/2相关的八个安全漏洞。甚至用于构建Kubernetes的Go语言也受到两个漏洞的影响,这导致所有版本的Kubernetes都受到相关漏洞的影响。服务阻塞。幸运的是,该漏洞已得到修复,在此过程中我们可以学到什么?

作者|兰迪韦斯特格伦(Randy Westergren)

产品| CSDN(ID:csdnnews)

以下翻译:几周前,Netflix披露了乔纳森卢尼(Jonathan Looney)发现的许多第三方HTTP/2实现中的资源耗尽漏洞。此漏洞直接影响Kubernetes中的HTTP/2端点(由GoLang库,例如net/http和x/net/http2实现),并影响其他项目,例如nginx。甚至还有人为此漏洞画了一个记号。从上图可以看到,HTTP/2与标准HTTP请求-响应语法非常相似,除了这些请求和响应封装在包含相关帧(HEADERS和DATA)的HTTP/2消息流中。本规范中还有许多其他帧类型,主要与流控制有关,熟悉HTTP/1.1模型的帧类型可能不理解这些类型:

优先级

RST_STREAM

设置

PUSH_PROMISE

PING

GOAWAY

WINDOW_UPDATE

继续

漏洞让我们看一下CVE-2019-9512和CVE-2019-9515,它们将使用PING和空的SETTINGS帧将大量消息发送到HTTP/2侦听过程。最初的公告表明,恶意客户端会将这些帧发送到服务器,迫使服务器生成响应,但是客户端不会读取响应,它们将继续发送大量消息,最终可能耗尽服务器的CPU和记忆。修复大多数受影响的服务提供商已使用类似于H2O和GoLang的方法修补了这些问题:限制发送队列中控制帧的数量。原文:本文翻译为CSDN,请注明出处。收款报告投诉

在这个数据和应用程序泛滥的时代,漏洞的出现早已司空见惯。在造成大面积破坏之前我们该如何采取防御措施?也许我们可以从过去经常发生的事件中得到一些启发。最近,Netflix,Google和CERT/CC披露了与HTTP/2相关的八个安全漏洞。甚至用于构建Kubernetes的Go语言也受到两个漏洞的影响,这导致所有版本的Kubernetes都受到相关漏洞的影响。服务阻塞。幸运的是,该漏洞已得到修复,在此过程中我们可以学到什么?

作者|兰迪韦斯特格伦(Randy Westergren)

产品| CSDN(ID:csdnnews)

以下翻译:几周前,Netflix披露了乔纳森卢尼(Jonathan Looney)发现的许多第三方HTTP/2实现中的资源耗尽漏洞。此漏洞直接影响Kubernetes中的HTTP/2端点(由GoLang库,例如net/http和x/net/http2实现),并影响其他项目,例如nginx。甚至还有人为此漏洞画了一个记号。从上图可以看到,HTTP/2与标准HTTP请求-响应语法非常相似,除了这些请求和响应封装在包含相关帧(HEADERS和DATA)的HTTP/2消息流中。本规范中还有许多其他帧类型,主要与流控制有关,熟悉HTTP/1.1模型的帧类型可能不理解这些类型:

优先级

RST_STREAM

设置

PUSH_PROMISE

PING

GOAWAY

WINDOW_UPDATE

继续

漏洞让我们看一下CVE-2019-9512和CVE-2019-9515,它们将使用PING和空的SETTINGS帧将大量消息发送到HTTP/2侦听过程。最初的公告表明,恶意客户端会将这些帧发送到服务器,迫使服务器生成响应,但是客户端不会读取响应,它们将继续发送大量消息,最终可能耗尽服务器的CPU和记忆。修复大多数受影响的服务提供商已使用类似于H2O和GoLang的方法来修补这些问题:限制发送队列中控制帧的数量。原文:本文翻译为CSDN,请注明出处。