Il Microsoft Security Response Center pubblicato ieri un avviso di sicurezza relativo a un denial of service (DOS) problema di impatto IIS (Internet Information Services), Microsoft server web di tecnologia.
Secondo Microsoft, i server IIS fornito con Windows 10 e Windows Server 2016 sono influenzate da una vulnerabilità durante l’elaborazione di HTTP/2 richieste.
HTTP/2 è l’ultima versione del protocollo HTTP che alla base di ciò che è noto come il World Wide Web (www), la parte di internet che gli utenti normali possono accedere nei loro browser.
Microsoft dice che ci sono circostanze in cui i server IIS elaborazione di HTTP/2 richieste possono causare la CPU picco al 100%, in modo efficace di bloccare o rallentare l’intero sistema.
Gal Goldshtein, un ingegnere del software con F5 Networks, ha scoperto il problema. Al di fuori di Microsoft ADV190005 avviso di sicurezza, non ci sono altri pubblici i dati disponibili su questa vulnerabilità.
Nella sua consulenza, Microsoft ha descritto il problema come segue:
HTTP/2 specificazione consente ai clienti di specificare qualsiasi numero di IMPOSTAZIONI di telai con qualsiasi numero di IMPOSTAZIONI dei parametri. In alcune situazioni, le impostazioni eccessive possono causare servizi instabile e può provocare un temporaneo picco di utilizzo della CPU fino a quando la connessione viene raggiunto il timeout e la connessione è chiusa.
Redmond-based OS maker affrontato il problema aggiungendo la possibilità di definire le soglie del numero di IMPOSTAZIONI di parametri inclusi in un HTTP/2 richiesta di un server IIS sarebbe in grado di gestire.
Aggiornamenti cumulativi KB4487006, KB4487011, KB4487021, e KB4487029 sono state rilasciate due giorni fa all’indirizzo IIS DOS bug.
Dopo aver applicato le modifiche, IIS gli amministratori saranno in grado di personalizzare l’HTTP/2 IMPOSTAZIONI di soglia e di evitare il bug da zero servizi web di IIS.
“Le soglie devono essere definite dall’amministrazione di IIS,” la società ha detto, “non sono preset da Microsoft.”
Relative cybersecurity notizie:
Microsoft Edge consente a Facebook di esecuzione del codice Flash dietro utenti backsWinRAR versioni rilasciate negli ultimi 19 anni, colpite da una grave sicurezza flawVulnerabilities scoperto popolare gestori di password
Malvertising campagna CI colpisce hard su Presidents’ Day weekendCisco patch di un paio di un accesso root-concessione di sicurezza flawsWhite cappelli diffusione VKontakte verme dopo la rete sociale non paga bug bounty
Le principali vulnerabilità trovato in Android ES File Explorer app TechRepublicXiaomi scooter elettrico riferito vulnerabili agli attacchi degli hacker hack CNET
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO