Netflix და Google – ის კვლევის ფარგლებში HTTP/2 პროტოკოლის რეალიზაციაში იყო აღმოჩენილი მოწყვლადობების მთელი რიგი. განუახლებელ ვერსიებზე ბოროტმოქმედებს ეძლევათ საშუალება გამოიწვიონ სერვერის გათიშვა.
ეს პრობლემები ეხება სერვერებს, რომლებიც იყენებენ HTTP/2 პროტოკოლს. W3Techs – ის მიერ შედგენილი სტატისტიკიდან გამომდინარე, ამ პროტოკოლს მსოფლიოში 40% – მდე საიტი იყენებს.
სულ იყო აღმოჩენილი რვა მოწყვლადობა, რომელის ექსპლუატირება შესაძლებელია დისტანციურად. სპეციალისტების განცხადებით, თავდასხმების ყველა ვექტორი მუშაობის იდენტური სქემით. ეს ხდება როდესაც კლიენტი ითხოვს პასუხს მოწყვლადი სერვერისგან, მაგრამ სანაცვლოდ არაფერს უგზავნის. კონფიგურაციიდან გამომდინარე კლიენტს შეუძლია ამ სერვერის მეხსიერების შემავალი მოთხოვნების დასამუშავებლად გამოყენება.
სისუსტეებს მიენიჭა შემდეგი CVE-ები: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 და CVE-2019-9518. მათი გამოყენებით, თავდამსხმელს შეუძლია რამოდენიმე ნაკადით მონაცემების უდიდესი მოცულობის მოთხოვნა, ასევე შეუძლია ხანგრძლივი პინგის გაგზავნა HTTP/2 პირთან და ასევე ფრეიმების და სერვერზე სათაურების ნაკადების სახელების და მნიშვნელობების გარეშე გაშვება.
მონაცემთა რიგითობის განლაგებით და სერვერის მეხსიერების გამოყენებით შეიძლება იყოს გამოწვეული სერვერის “დავარდნა”, რის შედეგადაც რესურსი არ იქნება ხელმისაწვდომი მომხმარებლებისთვის.
საკოორდინაციო CERT ცენტრის განცხადებით, სისუსტეები შეიმჩნევა ისეთი მწარმოებლების პროდუქტებში, როგორებიცაა: Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js და Ubuntu. ზოგ კომპანიაში ეს სისუსტეები იყო მოგვარებული, რის შედეგადაც მათზე განმეორებითი თავდასხმები შემჩნეული არ იყო
