Το Microsoft Security Response Center δημοσίευσε χθες μια προειδοποίηση ασφαλείας για ένα πρόβλημα άρνησης παροχής υπηρεσιών (DOS) που έχει επιπτώσεις στην τεχνολογία IIS (Internet Information Services), την τεχνολογία που χρησιμοποιούν οι web servers της Microsoft.
Σύμφωνα με τη Microsοft, οι διακομιστές IIS που λειτουργούν με Windows 10 και Windows Server 2016 επηρεάζονται από την ευπάθεια κατά την επεξεργασία αιτημάτων HTTP/2.
Το HTTP/2 είναι η τελευταία έκδοση του πρωτοκόλλου HTTP που υποστηρίζει το World Wide Web (www), το τμήμα του διαδικτύου στο οποίο μπορούν να έχουν πρόσβαση οι κανονικοί χρήστες μέσω των προγραμμάτων περιήγησης.
Η Microsoft αναφέρει ότι οι διακομιστές IIS που επεξεργάζονται αιτήματα HTTP/2 μπορούν να προκαλέσουν χρήση της CPU στο 100%, επιβραδύνοντας όλο το σύστημα.
Ο Gal Goldshtein, μηχανικός λογισμικού της F5 Networks, ήταν αυτός που ανακάλυψε το πρόβλημα Αξίζει να αναφέρουμε ότι εκτός της προειδοποίησης ασφαλείας ADV190005 που εξέδωσε η Microsoft, μέχρι σήμερα δεν υπάρχουν άλλες διαθέσιμες πληροφορίες για την συγκεκριμένη ευπάθεια.
Οι αθροιστικές ενημερωμένες εκδόσεις KB4487006, KB4487011, KB4487021 και KB4487029 που κυκλοφόρησαν πριν από δύο ημέρες υποτίθεται ότι θα επιδιορθώσουν το σφάλμα της υπηρεσίας IIS που αναφέραμε παραπάνω.
Σύμφωνα με την εταιρεία μετά την εφαρμογή των ενημερωμένων εκδόσεων, οι διαχειριστές του IIS θα μπορούν να προσαρμόσουν το κατώτατο όριο των αιτημάτων HTTP/2 και να αποτρέψουν το σφάλμα που προκαλεί το πάγωμα του IIS και κατακόρυφη αύξηση στους πόρους της CPU του συστήματος.
“Τα όρια πρέπει να ορίζονται από το διαχειριστή του IIS”, αναφέρει η εταιρεία, “δεν είναι προκαθορισμένα από τη Microsoft”.
_________________