forum.opennet.ru

"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0"	+/–
Сообщение от opennews (??), 04-Апр-24, 14:19
Раскрыты сведения об методе атаки "Continuation flood", затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость "Rapid Reset", использованная для совершения крупнейших на то время DDoS-атак... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60924
Ответить \| Правка \| Cообщить модератору

Оглавление

Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0, opennews, 04-Апр-24, 14:19 [смотреть все]

В новости забыли написать, что реализация на раст тоже подвержена атаке , Аноним, 04-Апр-24, 14:19 (1) //
- реализация на раст НЕ подвержена атаке, потому что реализации нет, Аноним, 04-Апр-24, 14:30 (4) //
  - Тише ты А то перепишут на Раст Т-сс тихо , Аноним, 04-Апр-24, 14:40 (5) //
    - И что такого Кому какой вред от очередного CoC md И даже может быть еще и от , пох., 04-Апр-24, 14:52 (7)
Красиво же, ну , Аноним, 04-Апр-24, 14:25 (2) //
- Вектор атаки прост как топор Сейчас в сервисах ограничения на входные данные не, Аноним, 05-Апр-24, 02:21 (49)
Как и в прошлый раз, пользователи HAProxy могут не подрываться У них код свой, , Аноним, 04-Апр-24, 14:30 (3) //
- У HAProxy своих CVE хватает Все равно соглашусь - штука классная , Аноним, 04-Апр-24, 14:54 (8) //
  - Не хватает Я бы сказал 8212 их там дефицит , Аноним, 04-Апр-24, 14:58 (9) //
    - Не накаркай, Аноним, 04-Апр-24, 20:40 (34)
- На нжинкс тоже походу не сработало Эти думают бошкой сколько ресурсов на запрос, Аноним, 04-Апр-24, 23:11 (40)
Ух Страшна Жаль что Go затронут, но хорошо что с Java всё хорошо , Golangdev, 04-Апр-24, 14:51 (6) //
- Го уже зафисиксили в, go1 22 2, OpenEcho, 04-Апр-24, 18:55 (29)
- Атака Continuation flood, приводящая к проблемам на серверах..., javaboy, 04-Апр-24, 20:51 (35)
- - в списке не подверженных как и подверженных атаке серверов не заметно Tomcat, Хейтер, 05-Апр-24, 11:47 (64) //
  - сами себе противоречитесовет - проверяйте сообщение, прежде чем его отправитьа с, Golangdev, 05-Апр-24, 12:48 (67) //
    - - способны написать в чём Лично я противоречий в своем посте не вижу, но если ч, Хейтер, 05-Апр-24, 14:55 (72)
до сих пор не понимаю, зачем что-то, кроме http1 1вместо чтоб выпилить гигабайты, 12yoexpert, 04-Апр-24, 15:04 (10) //
- Лучше перфокарт голубями ничего не придумали, http для смузихлебов , Аноним, 04-Апр-24, 15:24 (11) //
  - Не стоит недооценивать бандвиз голубя груженого microSD картами современная в, Аноним, 04-Апр-24, 23:12 (41)
- Просто забыли последнюю фразу скопипастить Все бегом на HTTP 3 , Аноним, 04-Апр-24, 15:49 (16) //
  - А у него фрейминг внезапно почти такой же - и то что там на точно такую же грабл, Аноним, 04-Апр-24, 23:14 (42)
- Тоже так подумал изначально и даже не пытался на своём локалхосте раскомментиро, Anonymous_x, 04-Апр-24, 17:58 (27)
Что характерно, дыры найдены исключительно в крякозябра-языках C, PHP, JS В че, Аноним, 04-Апр-24, 15:59 (19) //
- Ты пишешь это на ОС написаной на человеческом языке, а сообщение в Интренет отпр, Аноним, 04-Апр-24, 16:03 (22) //
  - Наверное, из будущего У них там ядро Linux переписано на Rust , Аноним, 04-Апр-24, 17:04 (25)
- я скорее думаю, что про руби все забыли и там просто никто не искал , анонка, 04-Апр-24, 17:04 (24)
- На Brainf ck-e тоже не найдено не одной уязвимости Думаете дело в читаемости ко, Аноним, 04-Апр-24, 17:18 (26)
- Ага Потому что там HTTP 2 нет https github com puma puma issues 454Ни один но, Аноним, 04-Апр-24, 18:49 (28)
- Haproxy, nginx - C, но в списке их нет , Ivan_83, 04-Апр-24, 19:50 (32) //
  - тут список естьhttps kb cert org vuls id 421644HTTP 2 attacks involving CONTIN, Sw00p aka Jerom, 04-Апр-24, 21:37 (36)
  - Пусть лучше покажет парсер HTTP 2 на рубях, который вообще кому-то и зачем-то бу, Аноним, 04-Апр-24, 23:19 (45) //
    - На скрипоте пишут в основном в качестве PoC и для случаев когда проще написать, Ivan_83, 05-Апр-24, 01:22 (47)
      - Но посмотреть как бы он на деле спправился с этой задачей - вместе с фреймингом , Аноним, 05-Апр-24, 02:42 (50)
        
        Лично я не вижу смысла в HTTP 2 вообще, а реализовывать его на высокуровневых яз, Ivan_83, 05-Апр-24, 03:15 (51)
        
        Параллельные потоки, меньше RTT ненужных, нет Head Of Line Blocking Поэтому вы , Аноним, 05-Апр-24, 05:46 (54)
        
        User Experience этот твой, никого не интересует , scriptkiddis, 05-Апр-24, 07:44 (58)
        
        Угу, пока не начинается отток юзерей и не возникает вопрос ребром а из чего мы , Аноним, 05-Апр-24, 09:16 (61)
        
        RTT вещь фундаментальная и зависит от скорости света в конкретных средах време, Ivan_83, 05-Апр-24, 12:13 (65)
        
        Зато протокол может поубавить их число и влияние на перфоманс Это жрет больше си, Аноним, 05-Апр-24, 13:06 (68)
        
        Вы отстали, там уже всё лишнее давно срезали Жрёт больше, работает лучше У вас п, Ivan_83, 05-Апр-24, 13:38 (70)
        
        По моему отстал не я H2 технически более совершенная штука Поэтому верхушка top, Аноним, 06-Апр-24, 09:03 (77)
        
        Это ничего не значит Миллионы мух не могут ошибатся Где UX и где задержка в 5 мс, Ivan_83, 06-Апр-24, 21:53 (79)
    - Вас в гугле забанили что ли https github com igrigorik http-2, Аноним, 05-Апр-24, 19:34 (74)
- Дело не в языке, а в реализациях протокола , Минона, 04-Апр-24, 22:37 (38) //
  - Дело не в языке, а в спецификации протокола, при реализациях которой приходится , голос из леса, 04-Апр-24, 23:10 (39) //
    - Извини, весь common sense в спецификации не вколотишь А сколько ты там ресурсов, Аноним, 04-Апр-24, 23:22 (46)
- А много на ruby реализаций HTTP 2 с разбором фреймов его потока то Или там перф, Аноним, 04-Апр-24, 23:18 (44) //
  - По крайней мере одна реализация существует Но вообще-то это типичная задача для, Аноним, 05-Апр-24, 19:43 (75)
- На рубях написан хттп сервер Сколько там запросов в секунду 5-10 , Аноним, 06-Апр-24, 13:56 (78)
атаку пишет проффесионал Искать надо оттуда , Аноним, 04-Апр-24, 16:54 (23)
Дайте эксплойт, Аноним, 04-Апр-24, 19:24 (30)
Это какой-то позор , Аноним, 04-Апр-24, 19:25 (31)
Вангую фиксинг дропом поддержки http 2 , Аноним, 04-Апр-24, 20:00 (33) //
- В пользу HTTP 3 - который суть то же самое, но поверх UDP , Аноним, 05-Апр-24, 01:23 (48) //
  - HTTP 3 даже не поддерживает HTTP Вот умора Только шифрование HTTPS под сертифи, Аноним, 05-Апр-24, 07:40 (57)
NIST awards 3 6 million to address the cybersecurity workforce gapThe grants of, Аноним, 05-Апр-24, 04:49 (52) //
- Сидеть на гугле будут все Хотя казалось бы - чего так сложно то разработать сво, Аноним, 05-Апр-24, 04:58 (53) //
  - Капитализм При коммунистах такого не было , Аноним, 05-Апр-24, 07:05 (55) //
    - Логично Нет интернета - нет вулнов в его протоколах При коммунистах - в СССР г, Аноним, 05-Апр-24, 07:31 (56)
      - А зачем им арпанет, американская военная сеть Были свои процессоры, компьютеры,, Аноним, 05-Апр-24, 08:02 (59)
      - Пруфы будут При СССР вполне себе продавался модем Менатеп sic , 2400, Манчес, 1, 05-Апр-24, 09:13 (60)
        
        Насколько я помню подключать модемы как впрочем и аоны было запрещено правилами , Аноним, 05-Апр-24, 10:35 (63)
        
        При совке АОН только появился, как фича для самих телефонистов Бывало возьмёшь т, Ivan_83, 05-Апр-24, 12:27 (66)
        
        Он вообще вроде как фича СОРМ изначально задуман был Но фичу прочухали и стали , Аноним, 05-Апр-24, 13:22 (69)
        
        Он был задуман для биллинга выхода на автоматический межгород 8 на координат, Имя, 05-Апр-24, 22:32 (76)
        
        Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы де, Kuromi, 05-Апр-24, 13:49 (71)
Ыыы какая прелесть , YetAnotherOnanym, 05-Апр-24, 09:29 (62)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру