8 Kesalahan Implementasi HTTP/2 pada Website

Dari berbagai implementasi HTTP/2 versi terbaru dari jaringan protokol HTTP telah ditemukan rentan terhadap keamanan yang mempengaruhi perangkat lunak web server seperti Apache, IIS Microsoft dan NGINX.

Sejak diluncurkan pada Mei 2015 HTTP/2 telah dirancang untuk keamanan yang lebih baik dan meningkatkan kecepatan dalam memuat halaman website. Saat ini lebih dari ratusan juta situs web sekitar 40 persen dari situs tersebut berjalan menggunakan protokol HTTP/2.

Dari 8 celah HTTP/2 dengan tingkat tertinggi 7 diantaranya ditemukan oleh Jonathan Looney dari Netflix dan 1 oleh Piotr Sikora dari google. Kerentanan ini ada karena kelelahan sumber daya ketika menangani input berbahaya yang memungkinkan klien untuk membebani kode manajemen antrian server.

Celah ini dapat dieksploitasi untuk meluncurkan serangan Denial of Service (DoS) terhadap jutaan layanan online dan situs web yang berjalan pada server dengan implementasi HTTP/2 yang rentan menjadikannya offline untuk semua orang.

Skenario serangan ini bekerja dengan cara klien meminta server yang ditargetkan untuk melakukan sesuatu yang menghasilkan respons tetapi kemudian klien menolak membaca respons tersebut sehingga memaksa perangkat keras (server) mengkonsumsi memory dan CPU yang berlebihan saat memproses permintaan hingga akhirnya DOWN.

Sebagian besar kerentanan yang tercantum dibawah lapisan HTTP/2 adalah sebagai berikut :

    CVE-2019-9511 — HTTP/2 "Data Dribble"
    CVE-2019-9512 — HTTP/2 "Ping Flood"
    CVE-2019-9513 — HTTP/2 "Resource Loop"
    CVE-2019-9514 — HTTP/2 "Reset Flood"
    CVE-2019-9515 — HTTP/2 "Settings Flood"
    CVE-2019-9516 — HTTP/2 "0-Length Headers Leak"
    CVE-2017-9517 — HTTP/2 "Internal Data Buffering"
    CVE-2019-9518 — HTTP/2 "Request Data/Header Flood"

Mei 2019, Tim Keamanan Netflix yang bekerja sama dengan google dan Pusat Koordinasi CERT untuk mengungkap kelemahan HTTP/2. Pada laporan tersebut peneliti menemukan 7 dari 8 Celah dalam beberapa implementasi server HTTP/2 dan melaporkannya kepada masing-masing vendor dan pengelola yang mengalami dampak.

Namun, perlu dicatat bahwa celah hanya dapat digunakan untuk menyebabkan kondisi DoS dan tidak memungkinkan penyerang berkompromi dengan kerahasiaan atau integritas data yang terkandung dalam server tersebut.

Menurut CERT vendor yang terkena dampak termasuk NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js dan Proxy Envoy banyak diantaranya telah merilis patch dan saran.


Posted On 16 Agustus 2019 at 23:23:16


Shared With : Shortlink





Another News
Dalam Sehari 62 Orang Positif Covid19 di Kabupaten Banyumas

Banyumas, Bupati Banyumas melalui akun resminya mengumumkan adanya peningkatan kasus pasien positif..

Ketua KPURI Arief Budiman Positif Corona, Netizen: Alhamdulillah

Jakarta, Ketua KPU RI Arief Budiman positif corona setelah dilakukan test swab sebagai syarat guna..

Edward Snowden Memuji Google dan Facebook

Rusia, Siapa yang tidak tahu sosok mantan anggota intelijen kelas kakap ini. Snowden yang beberapa..

Pengambilan Ular yang Masuk Perempuan Rusia

Rusia, Seekor ular merangkak ke dalam mulut seorang wanita yang tertidur di bawah pohon. ..

Ganja Sebagai Tanaman Obat Binaan Kementan?

Jakarta, Menteri Pertanian Syahrul Yasin Limpo menetapkan ganja sebagai tanaman obat binaan..

Most Popular Articles
Article
Cara Memperbaiki Foot Step

Foot Step atau pijakan kaki menjadi komponen penting pada motor. Bagian ini sangat menentukaan..

Article
Bahaya Lalat

Lalat, bagi sebagian besar orang hewan ini dianggap sangat menjijikan karna habitat hidupnya. Lalat..