พบบั๊กใน HTTP ทำให้แฮกเกกอร์ทำการโจมตีแบบ DoS Attacks ได้

บั๊กที่พบทั้ง 8 นั้น เป็นบั๊กที่อยู่ใน HTTP/2 ซึ่งเป็นช่องโหว่ที่บนเซิร์ฟเวอร์ HTTP/2 โดยแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่เหล่านี้ทำการโจมตีแบบ DoS Attacks เพื่อขัดขวางไม่ให้ใช้งานอินเตอร์เนตส่งผลให้ไม่สามารถเข้าเว็บไซต์ได้

ช่องโหว่นี้ส่งผลกระทบผู้ให้บริการเซิร์ฟเวอร์หลายๆ เจ้า ไม่ว่าจะเป็น Apple, Akamai, Ambassador (API Gateway), Apache Traffic Server, Cloudflare, Envoy (Proxy), Google (Golang), Microsoft, Netty Project, nghttp2, Nginx, Node.js และ Swift.

หมายเลขช่องโหว่ที่พบนี้ได้แก่

  • CVE-2019-9511 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9512 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9513 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9514 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9515 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9516 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9517 พบโดย Jonathan Looney นักวิจัยจาก Netflix
  • CVE-2019-9518 พบโดย Piotr Sikora ทีมักษาความปลอดภัย Envoy จาก Google

ทาง Cloudflare ซึ่งใช้ ซอฟต์แวร์ของ NGINX ในการจัดการ HTTP/2 ได้ออกมาแจ้งว่า หลังจากทราบข่าวเกี่ยวกับช่องโหว่ ได้ทำการออกแพตช์อุดช่องโหว่เรียบร้อยแล้ว

ทาง Apple ก็ได้ออกแพตช์อุดช่องโหว่นี้แล้วเช่นกันและได้แจ้งให้ลูกค้ารับทราบเกี่ยวกับช่องโหว่เรียบร้อยแล้ว

ส่วนผู้ให้บริการหลายๆ เจ้า ต่างก็เริ่มทยอยออกแพต์อัพเดทแล้ว แนะนำให้ทำการอัพเดทด่วน

ที่มา: Thread Post