https://www.opennet.me/openforum/vsluhforumID3/118146.html Исследователи из компаний Netflix и Google выявили (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md) в различных реализациях протокола HTTP/2 восемь уязвимостей, которые позволяют вызвать отказ в обслуживании через отправку определённым образом оформленного потока сетевых запросов. Проблемы в той или иной мере затрагивают большинство HTTP-серверов с поддержкой HTTP/2 и приводят к исчерпанию доступной для рабочего процесса памяти или созданию слишком высокой нагрузки на CPU. Обновления с устранением уязвимостей уже представлены в nginx 1.16.1/1.17.3 (http://mailman.nginx.org/pipermail/nginx-announce/2019/000247.html) и H2O 2.2.6 (http://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-released.html), но пока недоступны (http://www.apache.org/dist/httpd/) для Apache httpd и других продуктов (https://www.kb.cert.org/vuls/id/605641/).<br><br><br>Проблемы стали следствием внесённых в протокол HTTP/2 усложнений, связанных с применением бинарных структур, системой лим https://www.opennet.me/openforum/vsluhforumID3/118146.html#56 Mon, 19 Aug 2019 11:53:25 GMT Весь веб через жoпу сделан.<br>Например, вебсокеты разрабатывали какие-то недоделанные студенты - там если rfc почитать, то можно все лицо себе фейспалмом разбить.<br><br>Например: при аутентификации надо взять какую-нибудь случайную строку и сделать из нее base64, который уже пересылается на сервер. И, внимание, после всех манипуляций проверка идет по этой строке - никто обратно base64 не декодирует.<br>Внимание, вопрос: почему тогда не написали "сгенерируйте строку из символов 1-9a-z="? Все просто - потому, что "уяк, уяк и в продакшен", так как даже не потрудились вычитать текст "стандарта" после того как, очевидно, удалили лишнюю проверку строки.<br>А таких примеров - масса. Я когда писал демон вебсокет&lt;-&gt;сокет, два месяца на веб глядеть не мог, так тошнило от этой криворукости.<br><br>Или вот GUID (требование RFC - "сгенерируйте GUID"), который именно гуид - но, внимание, нигде нету требования что-то из него вытаскивать или проверять. Он используется просто как текстовая строка!!!<br>Я спокойно юзал слово "your-*ucking-m https://www.opennet.me/openforum/vsluhforumID3/118146.html#55 Mon, 19 Aug 2019 11:48:20 GMT &gt;&gt;но заменить которую стоит много американских денег :(<br><br>Поминусуют конечно - но это просто косяк в изначальной концепции. Кто-то купил в архитектуру "странную" железку без контракта на апдейт/техсаппорт и потом все страдают. Типичный случай.<br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#54 Fri, 16 Aug 2019 09:55:19 GMT &gt; Или просто железка с устаревшей прошивкой<br><br>Не просто "железка с устаревшей прошивкой", а неподдерживаемая, но еще работающая "железка с устаревшей прошивкой", новой прошивки для которой скорее всего никогда уже не будет, но заменить которую стоит много американских денег :(<br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#53 Thu, 15 Aug 2019 23:31:40 GMT Когда rfc приняли, уже поздно, приходится делать что есть.<br><br>А приняли, потому что Гугл пропихнул.<br><br>В той же рассылке nginx критики протокола было много. Но он решает насущную проблему с оверхедом на хендшейки, соответственно экономит проц, соответственно экономит деньги, так что куда деваться.<br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#52 Thu, 15 Aug 2019 19:17:43 GMT Вот именно. Разного уровня, а в http встроили функционал, за который который отвечает TCP. В результате:<br>&gt; CVE-2019-9517 (Internal Data Buffering) - атакующий открывает скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держит окно TCP закрытым, что не позволяет фактически записать данные в сокет https://www.opennet.me/openforum/vsluhforumID3/118146.html#51 Thu, 15 Aug 2019 14:47:40 GMT Вот не надо. В nginx http/2 тестировали ОЧЕНЬ долго.<br><br>Просто это очень переусложненный протокол, сложность просто катастрофическая. Вот до такого способа DoS-а только что догадались, а ведь протокол существует уже давно.<br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#50 Wed, 14 Aug 2019 21:33:08 GMT &gt;&gt;необходимости принимать дополнительные меры по синхронизации потока на уровнях HTTP и TCP.<br><br>Как HTTP к TCP относиться? Они вроде как разного уровня. <br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#49 Wed, 14 Aug 2019 21:27:27 GMT Согласен процентов на 80. Если бы сделали udp с удержанием соединения - это потребовало бы намного больше затрат. На ipv6 уже лет 20 переходят.<br> https://www.opennet.me/openforum/vsluhforumID3/118146.html#48 Wed, 14 Aug 2019 21:25:26 GMT Аппаратный прокси? Это как? Или просто железка с устаревшей прошивкой? <br>