Уязвимость DoS атаки в HTTP/2 из-за некорректного парсинга запросов HTTP.sys
Описание
В уязвимости DoS атаки в HTTP/2 присутствует ошибка в стеке протоколов HTTP.sys, возникающая из-за некорректного парсинга специально сформированных запросов HTTP/2. Злоумышленник, успешно воспользовавшийся уязвимостью, способен вызвать DoS атаку, делая целевую систему на время недоступной.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник, неаутентифицированный локально, способен отправить специально сформированный HTTP-пакет на целевую систему, что приводит к недоступности системы.
Решение
Для устранения уязвимости выпущено обновление безопасности, которое меняет способ обработки Windows стека протоколов HTTP/2. Следует отметить, что данная уязвимость DoS не позволяет злоумышленнику выполнить код или повысить уровень доступа пользователя.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 for 32-bit Systems | ||
| Windows 10 for x64-based Systems | ||
| Windows 10 Version 1511 for x64-based Systems | ||
| Windows 10 Version 1511 for 32-bit Systems | ||
| Windows Server 2016 | ||
| Windows 10 Version 1607 for 32-bit Systems | ||
| Windows 10 Version 1607 for x64-based Systems | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows 10 Version 1703 for 32-bit Systems | ||
| Windows 10 Version 1703 for x64-based Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
A denial of service vulnerability exists in the HTTP 2.0 protocol stack (HTTP.sys) when HTTP.sys improperly parses specially crafted HTTP 2.0 requests, aka "HTTP.sys Denial of Service Vulnerability." This affects Windows Server 2016, Windows 10, Windows 10 Servers.
A denial of service vulnerability exists in the HTTP 2.0 protocol stack (HTTP.sys) when HTTP.sys improperly parses specially crafted HTTP 2.0 requests, aka "HTTP.sys Denial of Service Vulnerability." This affects Windows Server 2016, Windows 10, Windows 10 Servers.
Уязвимость реализации протокола HTTP 2.0 драйвера HTTP.sys операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
EPSS
7.5 High
CVSS3