Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut manipuler la fenêtre TCP d’une connexion HTTP
version 2 vers Apache httpd, afin de mener un déni de service.

Produits concernés : Apache httpd.

Gravité : 1/4.

Date création : 07/07/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Apache httpd gère HTTP version 2.

HTTP version 2 permet de multiplexer plusieurs requêtes HTTP et
leurs réponses sur un seul flux d’octets TCP (au lieu de paires
(requête complète, réponse complète) consécutives en HTTP 1).
Cependant, lorsque le client annonce des fenêtres de contrôle de
flux "exotiques", httpd alloue de nombreux flots de contrôle a
cette connexion, ce qui empêche de traiter les autres clients.

Un attaquant peut donc manipuler la fenêtre TCP d’une connexion
HTTP version 2 vers Apache httpd, afin de mener un déni de
service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-via-HTTP-version-2-20039