Страшнее, чем «Rapid Reset»: в протоколе HTTPS/2 выявлена новая фундаментальная уязвимость

Новая уязвимость в протоколе HTTP/2 может быть использована для проведения атак типа «отказ в обслуживании» (DoS). Открытие, получившее название «HTTP/2 CONTINUATION Flood», принадлежит исследователю в области кибербезопасности Бартеку Новотарски, который сообщил о проблеме Центру координации CERT 25 января 2024 года.

В отчёте CERT от 3 апреля указано, что многие реализации HTTP/2 некорректно обрабатывают большое количество фреймов CONTINUATION, отправляемых в рамках одного потока.

Фреймы CONTINUATION в HTTP/2 используются для передачи фрагментов блоков заголовков. Последний фрейм содержит флаг END_HEADERS, указывающий на конец блока. Однако злоумышленник может инициировать новый поток HTTP/2 против уязвимого сервера и отправлять фреймы HEADERS и CONTINUATION без установленного флага END_HEADERS, создавая бесконечный поток заголовков, который сервер будет вынужден обрабатывать и хранить в памяти. Всё это может привести к переполнению памяти сервера и, как следствие, его аварийному завершению работы.

«CONTINUATION Flood» считается более серьёзной угрозой по сравнению с атакой «Rapid Reset», о которой стало известно в октябре 2023 года. По словам Новотарски, одна машина, а в некоторых случаях даже одно TCP-соединение или несколько фреймов, способны полностью нарушить доступность сервера. Примечательно, что запросы, составляющие атаку, не видны в журналах доступа HTTP, что затрудняет их обнаружение.

Уязвимость затрагивает множество проектов, среди которых amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, Node.js и Tempesta FW. Разработчики этих проектов уже опубликовали обновления, направленные на устранение уязвимости.

В качестве временного решения рекомендуется отключить поддержку HTTP/2 на сервере, пока не будет применено соответствующее обновление. Это мера предосторожности поможет избежать потенциальных атак и сохранить стабильность работы серверов.