![]() |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0" | +/– | ![]() |
Сообщение от opennews (??), 04-Апр-24, 14:19 | ||
Раскрыты сведения об методе атаки "Continuation flood", затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость "Rapid Reset", использованная для совершения крупнейших на то время DDoS-атак... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Аноним (1), 04-Апр-24, 14:19 Скрыто ботом-модератором | +/– | ![]() |
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #4 |
2. Сообщение от Аноним (2), 04-Апр-24, 14:25 | +9 +/– | ![]() |
Красиво же, ну. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #49 |
3. Сообщение от Аноним (3), 04-Апр-24, 14:30 | +3 +/– | ![]() |
Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #8, #40 |
4. Сообщение от Аноним (4), 04-Апр-24, 14:30 | +7 +/– | ![]() |
реализация на раст НЕ подвержена атаке, потому что реализации нет | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #5 |
5. Сообщение от Аноним (-), 04-Апр-24, 14:40 | +/– | ![]() |
Тише ты! А то перепишут на Раст. Т-сс тихо. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 Ответы: #7 |
6. Сообщение от Golangdev (?), 04-Апр-24, 14:51 | +/– | ![]() |
> По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #29, #35, #64 |
7. Сообщение от пох. (?), 04-Апр-24, 14:52 | +3 +/– | ![]() |
> Тише ты! А то перепишут на Раст. Т-сс тихо. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 |
8. Сообщение от Аноним (8), 04-Апр-24, 14:54 | +3 +/– | ![]() |
У HAProxy своих CVE хватает. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 Ответы: #9 |
9. Сообщение от Аноним (3), 04-Апр-24, 14:58 | +/– | ![]() |
> У HAProxy своих CVE хватает. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 Ответы: #34 |
10. Сообщение от 12yoexpert (ok), 04-Апр-24, 15:04 | +/– | ![]() |
до сих пор не понимаю, зачем что-то, кроме http1.1 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #11, #16, #27 |
11. Сообщение от Аноним (11), 04-Апр-24, 15:24 | +1 +/– | ![]() |
Лучше перфокарт голубями ничего не придумали, http для смузихлебов! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 Ответы: #41 |
16. Сообщение от Аноним (16), 04-Апр-24, 15:49 | +2 +/– | ![]() |
Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 Ответы: #42 |
19. Сообщение от Аноним (19), 04-Апр-24, 15:59 | –4 +/– | ![]() |
Что характерно, дыры найдены исключительно в крякозябра-языках (C, PHP, JS). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #22, #24, #26, #28, #32, #38, #44, #78 |
22. Сообщение от Аноним (1), 04-Апр-24, 16:03 | –1 +/– | ![]() |
Ты пишешь это на ОС написаной на человеческом языке, а сообщение в Интренет отправил драйвер, написаный на руби? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #25 |
23. Сообщение от Аноним (23), 04-Апр-24, 16:54 | +/– | ![]() |
атаку пишет проффесионал. Искать надо оттуда. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
24. Сообщение от анонка (?), 04-Апр-24, 17:04 | +7 +/– | ![]() |
я скорее думаю, что про руби все забыли и там просто никто не искал) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 |
25. Сообщение от Аноним (25), 04-Апр-24, 17:04 | +1 +/– | ![]() |
Наверное, из будущего. У них там ядро Linux переписано на Rust. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
26. Сообщение от Аноним (26), 04-Апр-24, 17:18 | +/– | ![]() |
На Brainf*ck-e тоже не найдено не одной уязвимости. Думаете дело в читаемости кода? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 |
27. Сообщение от Anonymous_x (?), 04-Апр-24, 17:58 | +/– | ![]() |
> зачем что-то, кроме http1.1 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 |
28. Сообщение от Аноним (3), 04-Апр-24, 18:49 | +2 +/– | ![]() |
> В человеческих языках, таких как Ruby, дыр нет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 |
29. Сообщение от OpenEcho (?), 04-Апр-24, 18:55 | +/– | ![]() |
> Жаль что Go затронут | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
30. Сообщение от Аноним (30), 04-Апр-24, 19:24 | +/– | ![]() |
Дайте эксплойт | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
31. Сообщение от Аноним (31), 04-Апр-24, 19:25 | +1 +/– | ![]() |
Это какой-то позор.. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
32. Сообщение от Ivan_83 (ok), 04-Апр-24, 19:50 | –1 +/– | ![]() |
Haproxy, nginx - C, но в списке их нет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #36, #45 |
33. Сообщение от Аноним (33), 04-Апр-24, 20:00 | +1 +/– | ![]() |
Вангую фиксинг дропом поддержки http/2. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #48 |
34. Сообщение от Аноним (8), 04-Апр-24, 20:40 | +1 +/– | ![]() |
>их там дефицит | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
35. Сообщение от javaboy (?), 04-Апр-24, 20:51 | +1 +/– | ![]() |
> oghttp (CVE-2024-27919) - неограниченное потребление памяти. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
36. Сообщение от Sw00p aka Jerom (?), 04-Апр-24, 21:37 | +/– | ![]() |
тут список есть | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 |
38. Сообщение от Минона (ok), 04-Апр-24, 22:37 | +/– | ![]() |
Дело не в языке, а в реализациях протокола. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #39 |
39. Сообщение от голос из леса (?), 04-Апр-24, 23:10 | +2 +/– | ![]() |
>> Дело не в языке, а в реализациях протокола. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #38 Ответы: #46 |
40. Сообщение от Аноним (-), 04-Апр-24, 23:11 | +4 +/– | ![]() |
> Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 |
41. Сообщение от Аноним (-), 04-Апр-24, 23:12 | +2 +/– | ![]() |
> Лучше перфокарт голубями ничего не придумали, http для смузихлебов! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
42. Сообщение от Аноним (-), 04-Апр-24, 23:14 | +/– | ![]() |
> Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #16 |
44. Сообщение от Аноним (-), 04-Апр-24, 23:18 | +/– | ![]() |
> В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #75 |
45. Сообщение от Аноним (-), 04-Апр-24, 23:19 | +/– | ![]() |
> Haproxy, nginx - C, но в списке их нет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 Ответы: #47, #74 |
46. Сообщение от Аноним (-), 04-Апр-24, 23:22 | +/– | ![]() |
> Дело не в языке, а в спецификации протокола, при реализациях которой | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 |
47. Сообщение от Ivan_83 (ok), 05-Апр-24, 01:22 | +/– | ![]() |
На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать под мизерную нагрузку чем ставить и настраивать что то отдельное. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #45 Ответы: #50 |
48. Сообщение от Аноним (-), 05-Апр-24, 01:23 | +/– | ![]() |
> Вангую фиксинг дропом поддержки http/2. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #57 |
49. Сообщение от Аноним (49), 05-Апр-24, 02:21 | +1 +/– | ![]() |
Вектор атаки прост как топор. Сейчас в сервисах ограничения на входные данные не проверяют разве что совсем конченые. А с HTTP/2.0 сразу понятно где грабли зарыты и на что нужно обращать внимание в реализациях | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
50. Сообщение от Аноним (-), 05-Апр-24, 02:42 | +/– | ![]() |
> На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 Ответы: #51 |
51. Сообщение от Ivan_83 (ok), 05-Апр-24, 03:15 | +/– | ![]() |
Лично я не вижу смысла в HTTP/2 вообще, а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1.1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала какогото полезного/нового. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #50 Ответы: #54 |
52. Сообщение от Аноним (52), 05-Апр-24, 04:49 | +1 +/– | ![]() |
NIST awards $3.6 million to address the cybersecurity workforce gap | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #53 |
53. Сообщение от Аноним (52), 05-Апр-24, 04:58 | +/– | ![]() |
Сидеть на гугле будут все! Хотя казалось бы - чего так сложно то разработать свои технологии? Всё начинается с умных людей (философов), которые порождают умную идеологию своего мира. Потом уже другие умные люди согласно этой технологии порождают технологии, предоставляя возможности. И уже потом другие умные люди этими технологиями пользуются - лечат других людей, общаются, обучают, защищают, выращивают, торгуют. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #52 Ответы: #55 |
54. Сообщение от Аноним (-), 05-Апр-24, 05:46 | +/– | ![]() |
> Лично я не вижу смысла в HTTP/2 вообще, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #51 Ответы: #58, #65 |
55. Сообщение от Аноним (55), 05-Апр-24, 07:05 | +/– | ![]() |
Капитализм. При коммунистах такого не было. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #53 Ответы: #56 |
56. Сообщение от Аноним (-), 05-Апр-24, 07:31 | +/– | ![]() |
> Капитализм. При коммунистах такого не было. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #55 Ответы: #59, #60 |
57. Сообщение от Аноним (57), 05-Апр-24, 07:40 | +/– | ![]() |
HTTP/3 даже не поддерживает HTTP! Вот умора! Только шифрование HTTPS под сертификатами (((авторитетов))) прибитое гвоздями и болшьеш никак! Цифровой гуглаг чистой воды. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #48 |
58. Сообщение от scriptkiddis (?), 05-Апр-24, 07:44 | +/– | ![]() |
User Experience этот твой, никого не интересует. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #54 Ответы: #61 |
59. Сообщение от Аноним (55), 05-Апр-24, 08:02 | +/– | ![]() |
А зачем им арпанет, американская военная сеть? Были свои процессоры, компьютеры, протоколы и сети. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 |
60. Сообщение от 1 (??), 05-Апр-24, 09:13 | +1 +/– | ![]() |
Пруфы будут ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 Ответы: #63 |
61. Сообщение от Аноним (-), 05-Апр-24, 09:16 | +/– | ![]() |
> User Experience этот твой, никого не интересует. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #58 |
62. Сообщение от YetAnotherOnanym (ok), 05-Апр-24, 09:29 | +/– | ![]() |
> приводит к передаче на сервер большого числа заголовков, которые сервер сохраняет в оперативной памяти до тех пор, пока доступная процессу память не будет исчерпана | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
63. Сообщение от Аноним (68), 05-Апр-24, 10:35 | +/– | ![]() |
> Пруфы будут ? При СССР вполне себе продавался модем Менатеп (sic!), 2400, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #60 Ответы: #66, #71 |
64. Сообщение от Хейтер (?), 05-Апр-24, 11:47 | +/– | ![]() |
>хорошо что с Java всё хорошо | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #67 |
65. Сообщение от Ivan_83 (ok), 05-Апр-24, 12:13 | +/– | ![]() |
RTT вещь фундаментальная и зависит от скорости света в конкретных средах + времени обработки в куче железок по пути а не от протокола. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #54 Ответы: #68 |
66. Сообщение от Ivan_83 (ok), 05-Апр-24, 12:27 | +2 +/– | ![]() |
При совке АОН только появился, как фича для самих телефонистов. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #63 Ответы: #69 |
67. Сообщение от Golangdev (?), 05-Апр-24, 12:48 | +/– | ![]() |
сами себе противоречите | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 Ответы: #72 |
68. Сообщение от Аноним (68), 05-Апр-24, 13:06 | +1 +/– | ![]() |
> RTT вещь фундаментальная и зависит от скорости света в конкретных средах + | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #65 Ответы: #70 |
69. Сообщение от Аноним (68), 05-Апр-24, 13:22 | +1 +/– | ![]() |
> При совке АОН только появился, как фича для самих телефонистов. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 Ответы: #76 |
70. Сообщение от Ivan_83 (ok), 05-Апр-24, 13:38 | +/– | ![]() |
> Зато протокол может поубавить их число и влияние на перфоманс. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #68 Ответы: #77 |
71. Сообщение от Kuromi (ok), 05-Апр-24, 13:49 | +/– | ![]() |
Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы делают на их телефонных линиях бабло, а им только нагрузка на сеть достается. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #63 |
72. Сообщение от Хейтер (?), 05-Апр-24, 14:55 | +/– | ![]() |
>сами себе противоречите | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #67 |
74. Сообщение от Аноним (74), 05-Апр-24, 19:34 | +/– | ![]() |
> Пусть лучше покажет парсер HTTP/2 на рубях | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #45 |
75. Сообщение от Аноним (74), 05-Апр-24, 19:43 | +/– | ![]() |
По крайней мере одна реализация существует. Но вообще-то это типичная задача для реализации на С и прикручивания биндингов для более высокоуровневых разных языков. Чтобы и реализация была быстрой, и разработка. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #44 |
76. Сообщение от Имя (?), 05-Апр-24, 22:32 | +/– | ![]() |
>Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #69 |
77. Сообщение от Аноним (-), 06-Апр-24, 09:03 | +/– | ![]() |
> Вы отстали, там уже всё лишнее давно срезали. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #70 Ответы: #79 |
78. Сообщение от Аноним (78), 06-Апр-24, 13:56 | +/– | ![]() |
На рубях написан хттп сервер? Сколько там запросов в секунду? 5-10? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 |
79. Сообщение от Ivan_83 (ok), 06-Апр-24, 21:53 | +/– | ![]() |
> По моему отстал не я. H2 технически более совершенная штука. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #77 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |