Skip to content

HTTP/2: off

Ich hätte ja nicht gedacht, dass ich so schnell wieder den Stecker dieses Protokolls ziehen muss. Netflix hat eine Analyse veröffentlicht, welche auf inkorrekte Behandlung von Sonderfällen bei Implementierungen von HTTP/2 hinweist, die zu Denial-of-Service-Attacken genutzt werden können.

Motivation

Netflix hat schon einmal CVEs angemeldet und hat klar herausgearbeitet, dass sich die zugehörige RFC7540 größtenteils nur auf den Happy Path bezieht und Sonderfälle und Angriffsszenarien der individuellen Implementierung überlässt. Obwohl noch nicht klar ist, welche Implementierungen konkret für welche CVEs betroffen sind, deaktiviere ich es vorsichtshalber überall.

Der Fakt der vagen RFC ist für mich Grund genug, alle Implementierungen als nicht hinreichend vertrauenswürdig einzustufen, bis das Gegenteil individuell bewiesen ist. Die Qualität einer Protokoll-Spezifikation liegt in genau diesen Details. Die RFC ist von 2015. Vier Jahre, schade, dass sich erst jetzt Leute damit beschäftigen.

Fazit

Danke Netflix! :-)

Nachtrag

16.08.2019: Ubuntu hat USN-4099-1 veröffentlicht.

Kommentare

Noch keine Kommentare

Kommentar schreiben