微軟2月20日發出安全公告,警告一隻存在IIS中的漏洞可能讓駭客發動惡意HTTP/2呼叫,讓系統CPU使用率衝高到100%,藉此發動阻斷服務(denial of service, DoS)攻擊,令網站斷線。

HTTP/2是1999年釋出的HTTP/1.1之後的更新版,大幅改善了瀏覽器的網頁下載速度。根據微軟ADV190005的安全公告,HTTP/2規格能讓用戶端指定SETTINGS frames的任何參數。但在某些情況下,過度設定可能使網頁服務不穩定,導致伺服器CPU使用量短時間衝高到100%,一直到達連線時間上限,由網頁伺服器IIS切斷連線,也就達到了DoS攻擊的效果。

受到本漏洞影響的產品包括Windows 10及Windows Server 2016中的IIS。

為解決上述漏洞,微軟已釋出非安全累積更新,包括KB4487006KB4487011KB4487021KB4487029。在這些修補程式中,微軟為IIS加入為HTTP/2呼叫定義SETTINGS數量閥值的功能。這個閥值必須由IIS管理員定義,而非由微軟預設。至於要怎麼定義,微軟也公佈相關的支援說明

微軟表示本漏洞沒有緩和威脅或權宜作法,呼籲IIS管理員最好儘速安裝修補程式。


Advertisement

更多 iThome相關內容