Уязвимость DoS в HTTP.sys из-за некорректного разбора специально сформированных запросов в протоколе HTTP/2.0
Описание
DoS уязвимость присутствует в стекe протокола HTTP 2.0 (HTTP.sys), возникающая из-за некорректного разбора HTTP.sys специально сформированных HTTP 2.0 запросов.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, способен создать условия для DoS атаки, приводя к тому, что целевая система перестает реагировать на запросы пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник может отправить специально сформированный HTTP пакет на целевую систему, что приведет к ее неотзывчивости.
Решение
Обновление безопасности исправляет уязвимость путем изменения того, как стек протокола HTTP в Windows обрабатывает HTTP 2.0 запросы. Следует отметить, что данная уязвимость DoS не позволяет злоумышленнику выполнять код или повышать уровень доступа пользователя.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 for 32-bit Systems | ||
| Windows 10 for x64-based Systems | ||
| Windows Server 2016 | ||
| Windows 10 Version 1607 for 32-bit Systems | ||
| Windows 10 Version 1607 for x64-based Systems | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows 10 Version 1703 for 32-bit Systems | ||
| Windows 10 Version 1703 for x64-based Systems | ||
| Windows 10 Version 1709 for 32-bit Systems | ||
| Windows 10 Version 1709 for x64-based Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
5.3 Medium
CVSS3
Связанные уязвимости
A denial of service vulnerability exists in the HTTP 2.0 protocol stack (HTTP.sys) when HTTP.sys improperly parses specially crafted HTTP 2.0 requests, aka "HTTP.sys Denial of Service Vulnerability." This affects Windows Server 2016, Windows 10, Windows 10 Servers.
A denial of service vulnerability exists in the HTTP 2.0 protocol stack (HTTP.sys) when HTTP.sys improperly parses specially crafted HTTP 2.0 requests, aka "HTTP.sys Denial of Service Vulnerability." This affects Windows Server 2016, Windows 10, Windows 10 Servers.
EPSS
5.3 Medium
CVSS3