Par /
http/2 bomb : moins d'une minute suffit pour mettre ko les serveurs nginx, apache et iis

L’alliance de deux techniques bien connues

Cette vulnérabilité identifiée dans le protocole HTTP/2 a été mise en lumière par les chercheurs en sécurité de chez Calif, qui mentionnent que cette découverte a été possible grâce à l’utilisation de l’agent Codex d’OpenAI. Cette nouvelle technique nommée HTTP/2 Bomb s’appuie sur deux méthodes de déni de service existantes :

  • L’amplification de la compression HPACK
  • La rétention de ressources de type Slowloris via le blocage du contrôle de flux HTTP/2.

Dans la pratique, l’attaquant abuse du mécanisme HPACK, utilisé par HTTP/2 pour compresser les en-têtes, en insérant un en-tête dans la table dynamique HPACK. L’attaque consiste à faire référence à cet en-tête de manière répétée, ce qui va engendrer l’allocation de milliers d’octets de mémoire côté serveur. Pour un octet initial, les ratios d’amplification au niveau du serveur Web sont ensuite énormes : 4 000:1 pour Apache httpd, par exemple.

Source : https://www.it-connect.fr/http-2-bomb-moins-dune-minute-suffit-pour-mettre-ko-les-serveurs-nginx-apache-et-iis/

Must Read

Scroll to Top