IISdagi zaiflik kompyuterni o’chirib qo’yishi mumkin
Zaiflikdan foydalanib, tajovuzkor protsessorning 100% ishlatilishiga olib kelishi mumkin.
Microsoft oʻzining Internet Information Services (IIS) veb-server texnologiyasidagi kompyuterning ishdan chiqishiga olib kelishi mumkin boʻlgan zaiflikni tuzatdi. Zaiflikdan foydalanib, tajovuzkor IISni maxsus tayyorlangan HTTP/2 soʻrovini qayta ishlashga majburlash orqali protsessorning 100% ishlatilishiga olib kelishi va shu bilan xizmat koʻrsatishning rad etilishiga olib kelishi mumkin. HTTP/2 HTTP protokolining eng soʻnggi versiyasidir. Microsoft maslahatiga koʻra, maʼlum holatlarda HTTP/2 ni qayta ishlashda IIS serverlari toʻplami protsessorning 100% ni isteʼmol qilishi mumkin, bu esa kompyuterning sekinlashishiga yoki hatto ishdan chiqishiga olib kelishi mumkin.
Muammoni F5 Networks mutaxassisi Gal Goldshtein aniqladi. Bugungi kunga qadar zaiflikning Microsoft rasmiy tavsiyasidan tashqari boshqa tavsiflari mavjud emas. «HTTP/2 spetsifikatsiyasi mijozga istalgan miqdordagi SETTINGS freymlarini istalgan miqdordagi SETTINGS parametrlari bilan o’rnatish imkonini beradi. Ba’zi hollarda, juda ko’p SETTINGS freymlari xizmatlarni beqaror qilishi va ulanish vaqti tugagunga qadar protsessordan foydalanishning vaqtinchalik oshishiga olib kelishi mumkin», deyiladi tavsiyada.
Microsoft IIS qayta ishlay oladigan HTTP/2 so’rovida SETTINGS parametrlari sonini cheklash imkoniyatini joriy etish orqali muammoni hal qildi. Zaiflik shu hafta KB4487006, KB4487011, KB4487021 va KB4487029 yangilanishlarining chiqarilishi bilan tuzatildi. SETTINGS parametrlari sonining cheklovi oldindan o’rnatilmagan va tizim administratorlari yamoqlarni joylashtirgandan so’ng uni qo’lda sozlashlari kerak.
