8 Kesalahan Implementasi HTTP/2 pada Website

Dari berbagai implementasi HTTP/2 versi terbaru dari jaringan protokol HTTP telah ditemukan rentan terhadap keamanan yang mempengaruhi perangkat lunak web server seperti Apache, IIS Microsoft dan NGINX.

Sejak diluncurkan pada Mei 2015 HTTP/2 telah dirancang untuk keamanan yang lebih baik dan meningkatkan kecepatan dalam memuat halaman website. Saat ini lebih dari ratusan juta situs web sekitar 40 persen dari situs tersebut berjalan menggunakan protokol HTTP/2.

Dari 8 celah HTTP/2 dengan tingkat tertinggi 7 diantaranya ditemukan oleh Jonathan Looney dari Netflix dan 1 oleh Piotr Sikora dari google. Kerentanan ini ada karena kelelahan sumber daya ketika menangani input berbahaya yang memungkinkan klien untuk membebani kode manajemen antrian server.

Celah ini dapat dieksploitasi untuk meluncurkan serangan Denial of Service (DoS) terhadap jutaan layanan online dan situs web yang berjalan pada server dengan implementasi HTTP/2 yang rentan menjadikannya offline untuk semua orang.

Skenario serangan ini bekerja dengan cara klien meminta server yang ditargetkan untuk melakukan sesuatu yang menghasilkan respons tetapi kemudian klien menolak membaca respons tersebut sehingga memaksa perangkat keras (server) mengkonsumsi memory dan CPU yang berlebihan saat memproses permintaan hingga akhirnya DOWN.

Sebagian besar kerentanan yang tercantum dibawah lapisan HTTP/2 adalah sebagai berikut :

    CVE-2019-9511 — HTTP/2 "Data Dribble"
    CVE-2019-9512 — HTTP/2 "Ping Flood"
    CVE-2019-9513 — HTTP/2 "Resource Loop"
    CVE-2019-9514 — HTTP/2 "Reset Flood"
    CVE-2019-9515 — HTTP/2 "Settings Flood"
    CVE-2019-9516 — HTTP/2 "0-Length Headers Leak"
    CVE-2017-9517 — HTTP/2 "Internal Data Buffering"
    CVE-2019-9518 — HTTP/2 "Request Data/Header Flood"

Mei 2019, Tim Keamanan Netflix yang bekerja sama dengan google dan Pusat Koordinasi CERT untuk mengungkap kelemahan HTTP/2. Pada laporan tersebut peneliti menemukan 7 dari 8 Celah dalam beberapa implementasi server HTTP/2 dan melaporkannya kepada masing-masing vendor dan pengelola yang mengalami dampak.

Namun, perlu dicatat bahwa celah hanya dapat digunakan untuk menyebabkan kondisi DoS dan tidak memungkinkan penyerang berkompromi dengan kerahasiaan atau integritas data yang terkandung dalam server tersebut.

Menurut CERT vendor yang terkena dampak termasuk NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js dan Proxy Envoy banyak diantaranya telah merilis patch dan saran.


Posted On 16 Agustus 2019 at 23:23:16


Shared With : Shortlink





Another News
Group Bioteknologi TASK Afrika Selatan Mengembangkan Vaksin Covid-19

Gagasan untuk menguji vaksin BCG di Afrika terhadap COVID-19 pasti akan menimbulkan kontroversi,..

Selebgram Sarah Seihl Lelang Keperawanannya

Wabah Covid-19 ini membuat seluruh kalangan dari pengusaha besar maupun kecil hingga Usaha Kecil..

Dirjen WHO: Akan Terus Memimpin Perjuangan Global Melawan Pandemi Coronavirus

Kepala Organisasi Kesehatan Dunia mengatakan pada hari Selasa bahwa ia akan terus memimpin..

Facebook akan Meluncurkan Fitur Belanja Baru di Seluruh Aplikasi

Facebook Inc (FB.O) meluncurkan Shops, sebuah layanan yang akan memungkinkan bisnis untuk..

Johnson & Johnson Akan Berhenti Menjual Bedak Bayi di AS dan Kanada

Johnson & Johnson pada hari Selasa mengumumkan bahwa mereka akan berhenti menjual..

Most Popular Articles
Article
Cara Memperbaiki Foot Step

Foot Step atau pijakan kaki menjadi komponen penting pada motor. Bagian ini sangat menentukaan..

Article
Bahaya Lalat

Lalat, bagi sebagian besar orang hewan ini dianggap sangat menjijikan karna habitat hidupnya. Lalat..