Apache szolgáltatás megtagadásos sérülékenység

CH azonosító

CH-14502

Angol cím

Apache HTTPD HTTP/2 SETTINGS Data Processing Bug Lets Remote Users Deny Service

Felfedezés dátuma

2018.09.24.

Súlyosság

Magas

Érintett rendszerek

Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache HTTP Server 2.4.x

Összefoglaló

Az Apache webszerver egy MAGAS kockázati besorolású sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

A sérülékenységet az okozza, hogy a szoftver nem megfelelően kezel bizonyos, a felhasználó által küldött adatokat. Ha a támadó egy meglévő HTTP/2 kapcsolat esetén folyamatosan, speciálisan megszerkesztett, maximális méretű SETTINGS frame-eket küld, akkor a szoftver folyamatosan fenntartja a kapcsolatot, és az soha nem kerül “time out” állapotba. Ennek következtében a szerver idővel kifut a rendelkezésre álló erőforrásokból, és nem tudja kiszolgálni a beérkező kéréseket.

A sérülékenységet csak akkor lehet kihasználni, ha a http/2 protokoll engedélyezve van.

Megoldás

Frissítsen a legújabb verzióra