در روز پنجشنبه ۲۱ فوریه ۲۰۱۹ مصادف با ۲ اسفند ماه ۱۳۹۷، مرکز پاسخ امنیتی مایکروسافت یک راهنماییِ امنیتی در مورد مشکل Denial Of Service-DOS(خودداری از خدمات) منتشر کرد که بر فناوری Web-Server مایکروسافت یعنی IIS-Internet Information Services تأثیر میگذاشت.
طبق گفته مایکروسافت، تمامی سرورهای IIS که روی ویندوز سرور ۲۰۱۶ و ویندوز ۱۰ هستند در زمان پردازش Requestهای HTTP/2 تحت تاثیر این آسیب پذیری قرار میگیرند.
HTTP/2 آخرین نسخه از پروتکل HTTP است.
میزان استفاده از پردازنده(CPU Usage)
مایکروسافت در راهنمایی امنیتی ADV190005 خود میگوید که شرایطی وجود دارد که سرورهای IIS که HTTP/2 را پردازش میکنند میتوانند “باعث افزایش استفاده از CPU سیستم تا مقدار ۱۰۰% شوند، و این موضوع تا زمانیکه Connectionهای مخرب بوسیله IIS، کشته(Kill) شوند ادامه مییابد.”
این مسئله توسط مهندس نرمافزار به نام گال گُلداِشتِین(Gal Goldsteinin) با F5 Networks کشف شد. به غیر از توصیه ADV190005 مایکروسافت، هیچ اطلاعات عمومی دیگری در مورد این آسیبپذیری وجود ندارد.
“مشخصات HTTP/2 اجازه میدهد کلاینتها هر تعداد SETTING Frame را با هر تعداد از پارامترهای SETTING مشخص کنند. در برخی موارد، Settingهای بیش از حد میتواند باعث ناپایداری سرویسها شود و ممکن است موجب افزایش سرعت استفاده از CPU گردد، و این موضوع تا زمانیکه موعد Connection Timeout برسد و Connection بسته شود ادامه مییابد.”
این سازنده سیستم عامل با افزودن “توانایی تعریف آستانه در تعداد HTTP/2 SETTING در یک Request”، که میتواند توسط یک سرور IIS اداره شود، این مشکل را حل کرد.
به روز رسانی
مایکروسافت میگوید پس از پچ کردن سیستمهای خود با به روز رسانی Cumulative با کدهای KB4487006، KB4487011، Kb4487021 و KB4487029، سرپرستان سیستم(Admin) میتوانند آستانه HTTP/2 SETTING را تغییر داده و از این باگ در جلوگیری از مسدود کردن وبسرویسهای IIS جلوگیری کنند.
این شرکت میگوید: “آستانهها باید توسط Administratorها تعریف شوند. آنها توسط مایکروسافت از پیش تعیین نشدهاند”.
مایکروسافت به کاربران توصیه کرد که یک به روز رسانی غیرامنیتی را در ماه فوریه نصب کنند و مقاله Knowledge Baseای به کد ۴۴۹۱۴۲۰ را بررسی نمایند.