由卡内基梅隆大学软件工程协会所托管的计算机紧急应变协调中心(CERT/CC)在本周警告,有许多HTTP/2实现含有服务阻断(DoS)攻击漏洞,影响了Amazon、Apache Traffic Server项目、苹果、脸书、Go语言及微软等众多企业或项目。
HTTP/2为新一代的HTTP传输协议标准,它是该协议自1999年发布HTTP 1.1之后的首个更新,主要采用由Google所开发的开放SPDY协议。与HTTP 1.1相较,它保留了HTTP 1.1的大多数语音,但使用新的数据编码,可带来更快的速度,而与SPDY协议相较,它改变了压缩算法并禁用许多加密组件。
CERT/CC表示,由于HTTP/2需要比HTTP/1.1更多的资源来进行连接,在安全上,尽管它已经考虑了大多数可预期的行为,但如何减少实现在的异常行为依然引来许多缺陷。
CERT/CC总计披露了8个实现HTTP/2的服务阻断漏洞,涵盖CVE-2019-9511~CVE-2019-9518,黑客只要利用许多串流向特定资源请求大量数据;或是持续向某个HTTP/2 Peer发送Ping指令;还是创造多个请求串流,并持续改变串流的优先级;或者是打开多个串流,并在每个串流中附带无效请求;或是打开HTTP/2窗口,以让Peer可以无限发送,都能大量消耗系统资源,而单一系统的终止可能影响其它服务器的运行,而造成拒绝服务攻击。
与CERT/CC及Google共同披露这些HTTP/2漏洞的Netflix则解释,大多数的攻击位于HTTP/2传输层,它在TLS传输层的上方,但低于请求概念,HTTP早期的工具或功能都围绕在请求,但并没有太多针对HTTP/2连接所设计的工具,例如纪录、限速或整治的,这也让组织更难发现与封锁恶意的HTTP/2连接,可能需要更多的工具来处理相关状况。
整体而言,有许多的攻击矢量都是同一个主题的变种:恶意客户端要求服务器作某些会产生回应的事,但客户端却拒绝读取回应。
在大多数的状况下,立即的补救措施就是关闭对HTTP/2的支持,但它可能造成性能下滑,CERT/CC则说,只要安装HTTP/2实施者的更新程序就能解决。