Интернет без ограничений в России – с VPN через Телеграмм-бот:
|
«CONTINUATION Flood» позволяет проводить мощнейшие DoS-атаки.
Новая уязвимость в протоколе HTTP/2 может быть использована для проведения атак типа «отказ в обслуживании» (DoS). Открытие, получившее название «HTTP/2 CONTINUATION Flood», принадлежит исследователю в области кибербезопасности Бартеку Новотарски, который сообщил о проблеме Центру координации CERT 25 января 2024 года.
В отчёте CERT от 3 апреля указано, что многие реализации HTTP/2 некорректно обрабатывают большое количество фреймов CONTINUATION, отправляемых в рамках одного потока.
Разблокируй интернет в России с помощью нашего VPN:
|
Фреймы CONTINUATION в HTTP/2 используются для передачи фрагментов блоков заголовков. Последний фрейм содержит флаг END_HEADERS, указывающий на конец блока. Однако злоумышленник может инициировать новый поток HTTP/2 против уязвимого сервера и отправлять фреймы HEADERS и CONTINUATION без установленного флага END_HEADERS, создавая бесконечный поток заголовков, который сервер будет вынужден обрабатывать и хранить в памяти. Всё это может привести к переполнению памяти сервера и, как следствие, его аварийному завершению работы.
«CONTINUATION Flood» считается более серьёзной угрозой по сравнению с атакой «Rapid Reset», о которой стало известно в октябре 2023 года. По словам Новотарски, одна машина, а в некоторых случаях даже одно TCP-соединение или несколько фреймов, способны полностью нарушить доступность сервера. Примечательно, что запросы, составляющие атаку, не видны в журналах доступа HTTP, что затрудняет их обнаружение.
Уязвимость затрагивает множество проектов, среди которых amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, Node.js и Tempesta FW. Разработчики этих проектов уже опубликовали обновления, направленные на устранение уязвимости.
В качестве временного решения рекомендуется отключить поддержку HTTP/2 на сервере, пока не будет применено соответствующее обновление. Это мера предосторожности поможет избежать потенциальных атак и сохранить стабильность работы серверов.
Ваши гаджеты следят за вами. Мы знаем, как это остановить!
Присоединяйтесь
Купить анонимный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень анонимности и конфиденциальности при использовании интернета. Анонимный VPN помогает скрыть вашу личность, местоположение и онлайн-активность от посторонних, включая интернет-провайдеров, хакеров и государственные органы.
Почему стоит купить анонимный VPN?
-
Защита конфиденциальности: Анонимный VPN помогает защитить вашу личную информацию от слежки и утечек, что особенно важно в условиях растущей онлайн-угрозы.
-
Безопасность в общественных сетях: Используя анонимный VPN, вы можете безопасно подключаться к общественным Wi-Fi сетям, защищая свои данные от кражи.
-
Анонимное серфинг: Анонимный VPN позволяет вам без опасений исследовать интернет, не беспокоясь о том, что кто-то может отслеживать вашу активность.
-
Гибкость и удобство: Анонимные VPN-сервисы часто предлагают различные настройки и функции, что позволяет пользователю адаптировать сервис под свои нужды.
