微软标记IIS漏洞 可能导致100%的CPU使用率激增

DoS漏洞涉及发送恶意HTTP / 2连接,这可能会减慢或冻结用户的系统。微软发布了一份安全警报,概述了其网络服务器技术的漏洞,如果被利用,可能会阻止或减慢整个系统的速度。

F5 Networks的Gal Goldshtein首先检测到的拒绝服务(DoS)问题会影响与Microsoft的Internet信息服务(IIS)平台的HTTP / 2连接,该平台是为与Windows NT操作系统一起使用而构建的。

恶意HTTP / 2请求可以发送到运行IIS的Windows服务器,这将导致系统CPU使用率飙升至100%,直到恶意连接被IIS杀死,该公司昨天发布的咨询报告中概述了这一点。

“HTTP / 2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧,”安全警报说。

“在某些情况下,过多的设置会导致服务变得不稳定,并可能导致临时CPU使用率激增,直到达到连接超时并关闭连接。”

Microsoft尚未发现任何缓解措施或解决方法,但建议用户安装2月份的“非安全更新”,并审核“知识库文章”,该文章在撰写404页面链接时 – 不是 – 发现错误消息。

该公司还试图通过为用户提供定义HTTP / 2请求中包含的设置参数阈值的功能来缓解漏洞。

微软补充说,在用最近发布的累积更新修补系统后,系统管理员可以自定义HTTP / 2设置阈值,防止错误减慢或阻止其IIS Web服务。

微软最近不得不面对一些高调的漏洞,特别是在推出Windows 10操作系统的重大升级时。这导致该公司已经开始对2020年到期的重大更新进行早期beta测试,比通常的流程早得多。

(0)
上一篇 2022年4月6日
下一篇 2022年4月6日

相关推荐