根据Microsoft的说法,Windows 10和Windows Server 2016附带的IIS服务器在处理HTTP / 2请求时会受到漏洞的影响。
HTTP / 2是HTTP协议的最新版本,它支持所谓的万维网(www),这是普通用户可以在其浏览器中访问的互联网部分。
微软表示,在某些情况下,处理HTTP / 2请求的IIS服务器可能导致CPU使用率飙升至100%,从而有效地阻止或减慢整个系统的速度。
F5 Networks的软件工程师Gal Goldshtein发现了这个问题。除了Microsoft的ADV190005安全通报之外,没有关于此漏洞的其他公开详细信息。
在其咨询中,微软将此问题描述如下:
HTTP / 2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧。在某些情况下,过多的设置可能导致服务变得不稳定,并可能导致临时CPU使用率峰值,直到达到连接超时并关闭连接。
这家位于Redmond的操作系统制造商通过添加定义IIS服务器能够处理的HTTP / 2请求中包含的SETTINGS参数数量的阈值来解决该问题。
两天前发布了累积更新KB4487006,KB4487011,KB4487021和KB4487029,以解决IIS DOS错误。
应用更新后,IIS管理员将能够自定义HTTP / 2 SETTINGS阈值并防止该错误冻结IIS Web服务。
“阈值必须由IIS管理员定义,”该公司表示,“它们并非由微软预设。”