Học viện hack đạo đức Đào tạo hack đạo đức ở Pune – Ấn Độ

Hacking cực đoan | Sadik Shaikh | Cyber ​​Suraksha Abhiyan

Tín dụng: Sổ đăng ký

Đã cập nhật Rất tiếc! Microsoft đã xuất bản một lời khuyên về một lỗi trong sản phẩm Dịch vụ Thông tin Internet (IIS) cho phép yêu cầu HTTP / 2 độc hại gửi mức sử dụng CPU tới 100%.

Một người đọc ẩn danh Reg đã đưa chúng tôi đến với lời khuyên, ADV190005, cảnh báo rằng điều kiện này có thể khiến việc sử dụng CPU của hệ thống được ghim lên trần cho đến khi IIS tắt kết nối.

Nói cách khác, từ chối dịch vụ (DOS).

HTTP / 2 là một bản cập nhật lớn cho giao thức HTTP đáng kính được sử dụng bởi World Wide Web và hướng đến việc cải thiện hiệu suất, trong số các thay đổi khác. Windows Server 2016 là sản phẩm máy chủ đầu tiên của Microsoft hỗ trợ nó và Windows 10 (phiên bản 1607 – 1803) bị ảnh hưởng bởi sự cố này.

Vấn đề, theo Microsoft, là thông số HTTP / 2 cho phép khách hàng chỉ định bất kỳ số lượng khung CÀI ĐẶT nào với bất kỳ số lượng tham số CÀI ĐẶT nào. Các tham số đó thường bao gồm các nội dung hữu ích như các đặc điểm của ngang hàng gửi và các giá trị khác nhau cho cùng một tham số có thể được quảng cáo bởi mỗi ngang hàng.

Cài đặt quá mức có thể khiến mọi thứ trở nên hơi chao đảo vì IIS hoạt động theo yêu cầu và gửi mức sử dụng CPU lên cao cho đến khi hết thời gian kết nối và kết nối bị đóng.

Tin vui là trong tuần này, bản nhạc Cameron không bảo mật cập nhật về vấn đề này. Microsoft tung ra các bản vá vào ngày 19 tháng 2 dưới dạng KB4487006, KB4487011, KB4487021 và KB4487029 để đối phó với nó.

Công ty đã thêm khả năng đặt ngưỡng cho số lượng CÀI ĐẶT HTTP / 2 trong một yêu cầu nhưng đã từ chối đặt bất kỳ giá trị mặc định nào, để lại cho Quản trị viên IIS để định cấu hình.

Điều này giả định rằng các quản trị viên thực sự có thể tìm thấy cài đặt. Liên kết cho bài viết Cơ sở tri thức (KB4491420) mà Microsoft đề nghị người dùng đánh giá không đi đến đâu vào thời điểm viết và tài liệu hiện tại cho IIS vui vẻ nói với quản trị viên rằng không có cài đặt cấu hình mới nào cụ thể cho HTTP / 2.

Chúng tôi đã liên hệ với Microsoft để tìm hiểu thêm và sẽ cập nhật với bất kỳ phản hồi nào.

Bản thân vấn đề được phát hiện bởi Gal Goldshtein của F5 Networks. ®

Cập nhật để thêm vào lúc 15:13 UTC

Sau khi chúng tôi chú ý đến liên kết bị hỏng, Microsoft đã đăng bài viết hỗ trợ chi tiết xác định các ngưỡng khó chịu đó.

Than ôi, không có GUI ấm cúng cho quản trị viên. Bạn cần phải chỉnh sửa một vài mục đăng ký và khởi động lại để xem các ngưỡng được áp dụng. Như đã hứa, Microsoft sẽ không định nghĩa bất kỳ cài đặt trước nào cho các giá trị. Nó quyết định cho quản trị viên quyết định.

www.extremehacking.org

Sadik Shaikh | Cyber ​​Suraksha Abhiyan, Viện đào tạo hack đạo đức, CEHv10, CHFI, ECSAv10, CAST, ENSA, CCNA, CCNA, AN NINH, MCITP, RHCE, CHECKPOINT, ASA FIREWALL, VMAR, MẠNG Hacking đạo đức, Trung tâm đào tạo an ninh nâng cao ở Ấn Độ, khóa ceh v10 ở Pune-Ấn Độ, chứng nhận ceh ở Ấn Độ, đào tạo ceh v10 ở Pune-Ấn Độ, Khóa học đạo đức ở Pune-Ấn Độ


nguon http://blog.extremehacking.org/blog/2019/02/23/welcome-to-the-sunlit-uplands-of-http-2-where-a-naughty-request-can-send-microsofts-iis-into-a-spin/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây