window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-66399486-1'); La découverte de dangereux vulnérabilité dans le protocole HTTP2 qui a été lancé en mai 2015 | NETWORKVM

La deuxième version du protocole HTTP  est une autre version des versions de ce protocole, qui a été lancé en mai 2015, où l'avantage d'être plus protectrice de la version 1.1, mais cela ne l'empêche pas l'ajustement sur les failles de sécurité et c'est ce qui a été découvert par des chercheurs de la sécurité informatique de la société Impreva, ils ont découvert plusieurs failles de sécurité permettent à un attaquant de ralentir le processus de traitement sur le serveur Web en envoyant un grand nombre de commandes pourrait atteindre des dizaines de GO en taille, ce qui conduit à cesser de fonctionner les serveurs web.

Ces vulnérabilités infectent toutes les versions de serveurs Web qui traitent  cette version  du protocole http(HTTP 2), telles que Apache, IIS, Nginx,.. .

-La première vulnérabilité est identifier par CVE-2016-1546 , qui conduisent à la réponse lente du serveur web , est similaire à une attaque DDoS Slowloris connu qui touche les serveurs  Apache

-CVE-2016-1544 et CVE-2016-2525 causée par l'une des couches de ce protocole, qui a appelé HPACK où l'utilisation de cette couche permet de réduire le volume de données on les compressées, où un pirate utilisant cette faille pour envoyer des données compressées semble à une petit  taille, mais lorsque le serveur essai de décompressé ces données pour les traités  peuvent  contenir une grande quantité de données allons jusqu'à plusieurs Gigabit.

-CVE-2015-8659  permettre à un attaquant à la demande de faire une attaque DoS  interne sur le même serveur, conduisant à son incapacité à répondre à toutes les nouvelles demandes envoyées.

CVE-2016-0150 permet également au pirate de lancer une attaque DoS.

Les chercheurs de la sécurité informatique ont rapporté  ces vulnérabilité qui ont été fermées par la suite. Où il est dit que cette version du protocole HTTP  utilisé par plus de 9% de serveurs web sur Internet.

Tags: