Vigil@nce - Apache httpd : déni de service via HTTP version 2
juillet 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut manipuler la fenêtre TCP d’une connexion HTTP
version 2 vers Apache httpd, afin de mener un déni de service.
Produits concernés : Apache httpd.
Gravité : 1/4.
Date création : 07/07/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Apache httpd gère HTTP version 2.
HTTP version 2 permet de multiplexer plusieurs requêtes HTTP et
leurs réponses sur un seul flux d’octets TCP (au lieu de paires
(requête complète, réponse complète) consécutives en HTTP 1).
Cependant, lorsque le client annonce des fenêtres de contrôle de
flux "exotiques", httpd alloue de nombreux flots de contrôle a
cette connexion, ce qui empêche de traiter les autres clients.
Un attaquant peut donc manipuler la fenêtre TCP d’une connexion
HTTP version 2 vers Apache httpd, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-via-HTTP-version-2-20039