Microsoft Security Response Center publicerade igår ett säkerhetsmeddelande om en denial of service (DOS) frågan påverkar IIS (Internet Information Services), Microsoft ‘ s web-server-teknik.
Enligt Microsoft IIS-servrar levereras med Windows 10 och Windows Server 2016 påverkas av en sårbarhet vid behandling av HTTP/2 förfrågningar.
HTTP/2 är den senaste versionen av HTTP-protokollet som ligger till grund för vad som kallas World Wide Web (www), den del av internet som vanlig användare kan komma åt i sina webbläsare.
Microsoft säger att det finns omständigheter som IIS-servrar behandling av HTTP/2 önskemål kan orsaka CPU-användningen ökar till 100 procent, ett effektivt sätt att blockera eller bromsa hela systemet.
Gal Goldshtein, en programvara ingenjör med F5 Networks, upptäckte problemet. Utanför Microsofts ADV190005 security advisory, det finns ingen annan offentlig information tillgänglig om detta säkerhetsproblem.
I sin rådgivande, Microsoft beskrivs de problem som följer:
HTTP/2 specifikation gör det möjligt för kunden att ange ett antal INSTÄLLNINGAR för bilder med någon av de andra INSTÄLLNINGARNA parametrar. I vissa situationer, överdriven inställningar kan orsaka tjänster för att bli instabil och kan resultera i en tillfällig CPU-användning spike tills anslutningen tidsgräns nås och anslutningen är stängd.
Redmond-baserade OS tekokare upp frågan genom att lägga till möjligheten att definiera tröskelvärden på antal INSTÄLLNINGAR parametrar som ingår i en HTTP – /2 begära att en IIS-server skulle kunna hantera.
Kumulativa uppdateringar KB4487006, KB4487011, KB4487021, och KB4487029 släpptes för två dagar sedan för att hantera IIS DOS bugg.
Efter installation av uppdateringar, IIS administratörer kommer att kunna ändra HTTP – /2 INSTÄLLNINGAR tröskeln för att förhindra att felet från att frysa IIS-tjänster.
“Tröskelvärdena måste definieras av IIS administratör,” företaget sa, “de är inte förinställning av Microsoft.”
Relaterade it-säkerhet nyheter täckning:
Microsoft Kanten låter Facebook köra Flash-koden bakom användarnas backsWinRAR versioner som har getts ut under de senaste 19 åren påverkas av allvarliga säkerhet flawVulnerabilities upptäckts i populära chefer lösenord
Skadliga annonser kampanj träffar OSS användare hårt under Presidents’ Day weekendCisco patchar ett par root-access-beviljande av säkerhet flawsWhite hattar sprida VKontakte mask efter att sociala nätverk inte betala bug bounty
Större sårbarhet som finns i Android ES File Explorer-appen TechRepublicXiaomi elektrisk skoter enligt uppgift utsatta för kapning hacka CNET
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO