Apache szolgáltatás megtagadásos sérülékenység
Angol cím: 
Apache HTTPD HTTP/2 SETTINGS Data Processing Bug Lets Remote Users Deny Service
CERT-Hungary ID: 
CH-14502
Felfedezés dátuma: 
2018-09-25
Összefoglaló: 

Az Apache webszerver egy MAGAS kockázati besorolású sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás: 

A sérülékenységet az okozza, hogy a szoftver nem megfelelően kezel bizonyos, a felhasználó által küldött adatokat. Ha a támadó egy meglévő HTTP/2 kapcsolat esetén folyamatosan, speciálisan megszerkesztett, maximális méretű SETTINGS frame-eket küld, akkor a szoftver folyamatosan fenntartja a kapcsolatot, és az soha nem kerül "time out" állapotba. Ennek következtében a szerver idővel kifut a rendelkezésre álló erőforrásokból, és nem tudja kiszolgálni a beérkező kéréseket.

A sérülékenységet csak akkor lehet kihasználni, ha a http/2 protokoll engedélyezve van.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Apache HTTP Server 2.4.x