HTTP/2 Bomb: Обрушить NGINX и Apache дистанционно? Легко!

HTTP/2 Bomb: Обрушить NGINX и Apache дистанционно? Легко!
Нашли новую бомбу, братцы! Уязвимость 'HTTP/2 Bomb' позволяет удалённо положить популярные веб-сервера типа NGINX, Apache, IIS, Envoy и даже Cloudflare. Прикол в том, что беда кроется прямо в дефолтной конфигурации HTTP/2. Это не просто DoS, а реально крутой эксплойт, который может любой сайт на колени поставить. Работает это, предположительно, через отправку специальных, сверхмалых, но очень ресурсоёмких запросов, которые заставляют сервер потеть и падать. Что делать айтишникам? Срочно проверяйте обновления и патчи своих серверов от разработчиков, отключайте HTTP/2 если не используете, или ограничивайте ресурсы на HTTP/2 потоки. Не дайте своему серверу взорваться!

Оригинальный источник

Читать оригинал на The Hacker News
Telegram