Une faille a été trouvée dans la gestion des flux multiplexés dans le protocole HTTP/2. Le score CVSS de cette faille est de 7.5.
Le spécialiste de la cybersécurité iTrust rappelle que le protocole HTTP/2 permet une attaque par déni de service car l’annulation des requêtes peut réinitialiser de nombreuses connexions rapidement, comme cela a été exploité en conditions réelles.
« Appelée HTTP/2 Rapid Reset, cette stratégie d’attaque tire parti d’une caractéristique spécifique de HTTP/2 : sa capacité à permettre la multiplexation de requêtes au sein d’une seule connexion TCP. Les attaquants établissent plusieurs connexions HTTP/2 dans lesquelles ils envoient des requêtes immédiatement suivies de réinitialisations (trames RST_STREAM). Cette méthode a pour résultat de submerger le serveur sans franchir la limite de flux simultanés, car le serveur se trouve impuissant face à ces réinitialisations, étant donné qu’elles sont prises unilatéralement par le client, et le serveur n’a pas la capacité de les contrer ou de les refuser. »
Les conséquences potentielles sont une perturbation du fonctionnement du serveur,, un impact sur la disponibilité des sites web et la possibilité de violation de données et de vol d’informations sensibles.
En attente de correctifs officiels, iTrust propose ces actions temporaires :
Pour les serveurs web utilisant NGINX, il est possible d’atténuer la vulnérabilité en modifiant certains paramètres dont :
● Mettre le paramètre keepalive_requests par défaut (1000 requêtes).
● Mettre le paramètre http2_max_concurrent_streams par défaut (1000 streams).
● limit_conn et limit_req doivent être fixés avec un paramètre équilibrant les performances de l’application et la sécurité.
Désactivation du protocole HTTP/2 en utilisant l’éditeur de registre.
