CONTINUATION Flood : une nouvelle vulnérabilité DoS découverte dans HTTP/2 !
Le chercheur en sécurité Barket Nowotarski a identifié cette vulnérabilité, qui est liée à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter cette faille en envoyant des trames extrêmement longues, sans définir l'indicateur "END_HEADERS", ce qui épuise les ressources du serveur cible et provoque un déni de service.
Le protocole HTTP/2 encore largement utilisé !
Selon Cloudflare Radar, le protocole HTTP/2 est encore largement utilisé, représentant environ 2/3 de l'ensemble du trafic HTTP humain, 62,9% pour être précis. Le CERT/CC a publié un rapport sur cette vulnérabilité, référençant 9 failles de sécurité correspondantes dans différentes implémentations, notamment la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy et le langage de programmation Go.
@CloudFlare
Plusieurs CVE (Common Vulnerabilities and Exposures) sont associées à CONTINUATION Flood. Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316 a été corrigée dans Apache 2.4.59 publiée le 4 avril 2024.
Il convient de rappeler que cette vulnérabilité n'est pas la première à affecter le protocole HTTP/2. En octobre 2023, la faille de sécurité "Rapid Reset" avait été révélée et avait permis de lancer des attaques DDoS d'une ampleur sans précédent.
Donc vous savez ce qu'il vous reste à faire ! Filez mettre à jour vos précieuses distribution !
Bon à savoir : Le HTTP/3, c'est pour bientôt !
HTTP/3 est la prochaine version majeure du protocole HTTP, actuellement en cours de développement. Contrairement aux versions précédentes, HTTP/3 ne repose pas sur TCP, mais sur le protocole QUIC, qui a été conçu pour améliorer les performances et la sécurité des connexions Internet.
QUIC est un protocole de transport de couche d'application qui utilise UDP (User Datagram Protocol) plutôt que TCP pour transmettre des données. Cela permet de réduire la latence et d'améliorer la fiabilité des connexions, en particulier dans des environnements réseau instables ou à forte latence.
HTTP/3 devrait offrir des avantages significatifs par rapport à HTTP/2, notamment en termes de vitesse, de sécurité et de fiabilité. Toutefois, il convient de noter que HTTP/3 n'est pas encore finalisé et que sa mise en œuvre généralisée prendra du temps. En attendant, les utilisateurs et les administrateurs de serveurs web doivent continuer à maintenir leurs systèmes à jour pour se protéger contre les vulnérabilités de sécurité, telles que "CONTINUATION Flood", qui affectent les versions actuelles du protocole HTTP.
