image

Microsoft waarschuwt voor bug die IIS-servers 100 procent belast

donderdag 21 februari 2019, 14:23 door Redactie, 4 reacties

Microsoft heeft systeembeheerders gewaarschuwd voor een kwetsbaarheid waardoor het mogelijk is om via malafide HTTP/2-verzoeken de processor van IIS-webservers 100 procent te belasten. HTTP2 is een grote herziening van het HTTP-netwerkprotocol waar het web gebruik van maakt.

De HTTP/2-specificatie laat clients die met een webserver verbinding maken een onbeperkt aantal settings-frames met een onbeperkt aantal settings-parameters opgeven. In sommige gevallen kunnen excessieve settings ervoor zorgen dat de processor van een IIS-webserver 100 procent wordt belast totdat de malafide verbinding wordt verbroken. Op deze manier is het mogelijk om een denial of service-aanval tegen IIS-servers uit te voeren.

Om het probleem te verhelpen heeft Microsoft via de "non-security update" van februari de optie toegevoegd om een limiet in te stellen voor het aantal settings dat in een verzoek kan worden opgegeven. Deze limiet moet wel zelf door de IIS-beheerder worden ingesteld, zo laat Microsoft weten.

Reacties (4)
22-02-2019, 10:16 door Anoniem
Nu nog even waarschuwen voor bug, die onnodig veel geheugen gebruikt
22-02-2019, 10:17 door Anoniem
Ook meteen dan maar even waarschuwen dat er zoveel nutteloze iops in windows 2016/exchange 2016 gegenereerd worden.
22-02-2019, 10:26 door Anoniem
Is dit ook van toepassing op servers achter (niet Microssoft) Load balancers? (HTTPS verkeer dus wel intern)
22-02-2019, 12:11 door Anoniem
Door Anoniem: Nu nog even waarschuwen voor bug, die onnodig veel geheugen gebruikt
Welke dan?

Door Anoniem: Ook meteen dan maar even waarschuwen dat er zoveel nutteloze iops in windows 2016/exchange 2016 gegenereerd worden.
Die is nieuw voor mij. Welke nutteloze IOPS bedoel je dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.