Уязвимость в IIS позволяет вывести из строя компьютер
С помощью уязвимости злоумышленник может вызвать стопроцентную загрузку ЦП.
Компания Microsoft исправила в своей технологии для web-серверов Internet Information Services (IIS) уязвимость, позволяющую вывести из строя компьютер. С ее помощью злоумышленник может вызвать стопроцентную загрузку центрального процессора, заставив IIS обрабатывать особым образом сформированный запрос HTTP/2, и тем самым спровоцировать отказ в обслуживании. HTTP/2 представляет собой новейшую версию протокола HTTP. Как сообщается в уведомлении Microsoft, в определенных обстоятельствах при обработке HTTP/2 набор серверов IIS загружает ЦП на 100% и может вызвать замедление, а то и вовсе прекращение работы компьютера.
Проблему обнаружил специалист компании F5 Networks Галь Гольдштейн (Gal Goldshtein). На сегодняшний день никаких иных описаний уязвимости помимо официального уведомления Microsoft не существует. «Спецификация HTTP/2 позволяет клиенту установить любое количество фреймов SETTINGS с любым количеством параметров SETTINGS. В некоторых случаях слишком большое число SETTINGS может сделать работу сервисов нестабильной и вызвать временный резкий скачок нагрузки на ЦП до тех пор, пока не истечет время соединения», — говорится в уведомлении.
Microsoft исправила проблему, реализовав возможность устанавливать лимит на количество параметров SETTINGS в запросе HTTP/2, которое IIS в состоянии обработать. Уязвимость была исправлена на этой неделе с выходом обновлений KB4487006, KB4487011, KB4487021 и KB4487029. Ограничение на количество параметров SETTINGS не является предустановленным, и после развертывания патчей системные администраторы должны установить его самостоятельно.