Minden, amit a HTTP/2-féle hibáról tudni érdemes

Szerző: Biztonságportál | Utolsó módosítás: 2024.04.08.
​Összegyűjtöttük a legfontosabb információkat a HTTP/2 kapcsán feltárt sérülékenységről és a kockázatcsökkentési lehetőségekről.
 

Barket Nowotarski biztonsági kutató nevéhez fűződik az a felfedezés, amely a HTTP/2 protokoll egyes - széles körben is használatos - implementációival kapcsolatban hozott felszínre egy súlyos sebezhetőséget, illetve ezzel párhuzamosan egy új típusú támadási technikát. Ennek neve CONTINUATION Flood. Az ilyen típusú támadások az elkövetők oldalán viszonylag kis erőforrásigénnyel járnak, ugyanakkor a sérülékeny szerverekre jelentős hatást gyakorolhatnak. Viszonylag kis befektetéssel lehet ugyanis az érintett kiszolgálókat megbénítani, vagy azok teljesítményét radikálisan csökkenteni.
 
A sebezhetőség háttere
 
A HTTP protokoll frissített, modernizált változatát HTTP/2 néven standardizálták 2015-ben. A célja többek között az volt, hogy növelje a korábbi HTTP protokollra épülő megoldások teljesítményét a hálózati erőforrások hatékonyabb kihasználásával, a kapcsolatok optimalizálásával és nem utolsó sorban a késleltetési idő csökkentésével.
 
A HTTP/2 lehetőséget ad az üzenetek és adatfolyamok fragmentálására. Ennek kezeléséhez nélkülözhetetlenek az úgynevezett CONTINUATION keretek, amelyekből az üzenetek fejléce többet is tartalmazhat. A sérülékenység szempontjából pedig pontosan ez az, ami igazán lényeges.

 
  a
  Tovább olvasom...   
További hírek
 
Riasztások
  1. 4
    Cisco IP Phone sérülékenységek

    A Cico az IP telefonjaihoz három hibát javító frissítést tett közzé.

  2. 4
    ArubaOS sebezhetőségek

    Az ArobaOS-hez fontos biztonsgi frissítés érkezett.

  3. 3
    ChromeOS sérülékenység

    A Google egy veszélyes biztonsági rést foltozott be a ChromeOS-en.

  4. 4
    Google Chrome frissítések

    A Google két veszélyes hibát orvosolt Chrome böngészőben.

  5. 4
    SonicWall GMS javítások

    A SonicWall két sebezhetőséget javított a GMS kapcsán.

  6. 4
    Citrix Hypervisor/XenServer hibák

    A Citrix a virtualizációs megoldásaihoz fontos frissítéseket tett közzé.

  7. 4
    QNAP hibajavítások

    A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.

  8. 4
    Edge biztonsági hibák

    A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.

  9. 3
    TinyMCE biztonsági hibák

    A TinyMCE kapcsán XSS-hibákra derült fény.

  10. 4
    GLPI sérülékenységek

    A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.

 

ESET NOD32 Antivirus 1 eszköz 2 év Hosszabbítás
14990 Ft
G Data Mobile Security for Android 1 év 10 eszköz Hosszabbítás
24000 Ft
ESET Home Security Essential 2 eszköz 3 év Hosszabbítás
39990 Ft
Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!