Origine : bjCSIRT
Numéro : 2023/ALERTE/048
Date de l’alerte : 26/10/2023
APERÇU :
Un défaut de configuration dans le protocole HTTP/2 permettrait à un attaquant de provoquer un déni de service en envoyant de nombreuses requêtes de type RST_STREAM vers un serveur vulnérable.
DESCRIPTION :
HTTP/2 (HyperText Transfer Protocol 2) est la version améliorée du protocole HTTP, qui est utilisé pour la communication entre les navigateurs web et les serveurs web. HTTP/2 a été conçu pour améliorer les performances et l’efficacité des échanges de données sur le Web.
Cette version du protocole HTTP contient une vulnérabilité de type DoS (Denial of Service) identifiée sous le numéro CVE-2023-44487, qui permettrait à une personne malveillante, de demander à plusieurs reprises un nouveau flux de multiplex et d’envoyer immédiatement une trame RST-STREAM pour son annulation. Cela conduira à un travail supplémentaire du serveur qui entrainera une consommation anormale de ses ressources.
Cette vulnérabilité est de sévérité Élevée et son score est de 7.5.
IMPACT :
- Indisponibilité des services.
SYSTÈMES AFFECTÉS :
Serveurs web tournant sous le Protocole HTTP/2.
MESURES À PRENDRE :
Déployer des protections anti-DoS et des dispositifs anti-HTTP-flood.
RÉFÉRENCES :