CVE-2019-9512

Описание

Существует уязвимость в протоколе HTTP/2, заключающаяся в некорректной обработке сетевым стеком протокола HTTP.sys специально сформированных HTTP/2 запросов. Злоумышленник, успешно использующий эту уязвимость, способен создать условия для DoS атаки, что приведет к недоступности целевой системы.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник может отправить специально сформированный HTTP-пакет на целевую систему, что приведет к потере ее отклика.

Решение

Обновление решает данную уязвимость путем изменения обработки запросов HTTP/2 в протоколе HTTP.sys Windows. Обратите внимание, что DoS атака не позволяет злоумышленнику выполнять код или повышать уровень доступа пользователя.

Меры защиты

Следующая мера защиты может быть полезна:

• Отключение протокола HTTP/2 на веб-сервере с помощью редактора реестра

  Важно: Некорректное использование редактора реестра может вызвать серьезные проблемы, которые могут потребовать переустановки операционной системы. Microsoft не гарантирует решение проблем, возникших из-за неправильного использования редактора реестра. Используйте редактор реестра на свой страх и риск.

  Инструкции:

  1. Нажмите Пуск, выберите Выполнить, введите Regedit в поле Открыть, затем нажмите OK.
  2. Перейдите по следующему пути реестра: HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Установите для значений типа DWORD EnableHttp2TIs и EnableHttp2Cleartext одно из следующих значений:
     • Установите 0, чтобы отключить HTTP/2.
     • Установите 1, чтобы включить HTTP/2.
  4. Закройте редактор реестра.
  5. Перезагрузите компьютер.

Часто задаваемые вопросы (FAQ)

После установки обновлений для HTTP/2, нужно ли что-либо еще сделать для защиты от этой уязвимости?

Да. Обновление добавляет настройки конфигурации на сервер IIS, но они по умолчанию отключены. Для полной защиты администратору необходимо настроить сервер на ограничение количества принимаемых HTTP/2 пакетов. Это может различаться в зависимости от окружения и выполняемых на сервере служб.

Конкретные настройки подключения

1. Нажмите Пуск, выберите Выполнить, введите Regedit в поле Открыть, затем нажмите OK.
2. Перейдите по следующему пути реестра: HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Установите значение типа DWORD для Http2MaxPingsPerMinute в пределах от 0 до 0xFF. Это значение определяет максимальное число пингов в минуту, которые клиент может отправить серверу.
4. Закройте редактор реестра.
5. Перезагрузите компьютер.

Настройки потоков

1. Нажмите Пуск, выберите Выполнить, введите Regedit в поле Открыть, затем нажмите OK.
2. Перейдите по следующему пути реестра: HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Установите значения типа DWORD для ключей:
   • Http2MaxServerResetsPerMinute от 0 до **0xFFFF`. Определяет максимальное количество запросов в минуту от клиента, которые могут вызывать сбросы сервера.
   • Http2MaxPrioritiesPerStream от 0 до **0xFF`.
   • Http2MaxResetsPerStream от 0 до **0xFF`.
   • Http2MaxUnknownsPerStream от 0 до **0xFF`.
   • Http2MaxWindowUpdatesPerSend от 0 до **0xFF`.
   • Http2MinimumSendWindowSize от 0 до **0xFFFF`.
4. Закройте редактор реестра.
5. Перезагрузите компьютер.