HTTP/2 tiene vulnerabilidades que hacen peligrar a millones de páginas

HTTP/2 tiene vulnerabilidades que hacen peligrar a millones de páginas

Escrito por: Ildefonso Gómez    5 agosto 2016     2 minutos

HTTP/2, como bien sabrán los profesionales del sector, es un protocolo lanzado hace unos meses y que mejora el original HTTP. Entre otras características, elimina los fallos existentes y mejora el rendimiento del primer lanzamiento. No obstante, parece que lo que se creía perfecto no lo es tanto. El protocolo permite una mayor cantidad de mensajes en cuanto al intercambio de los mismos entre ordenador y servidores, permitiendo que podamos navegar en más páginas al mismo tiempo, además de aumentar la velocidad de carga. No obstante, tendríamos que andar con cuidado.

Investigadores de seguridad han descubierto que el protocolo HTTP/2 tiene un total de cuatro fallos importantes que pueden permitir a un atacante tanto ralentizar los servidores web como hacer que caigan por completo. Tras realizar algunos análisis, comprobaron vulnerabilidades que ya eran conocidas y explotadas en HTTP/1.X. Debemos tener en cuenta que el protocolo está en adopción por parte de muchas páginas desde hace meses, por lo que las mismas podrían estar en peligro.

Los fallos permiten realizar ataques de lectura lenta, similares a los ataques Slowloris DDoS, además de distribuir denegaciones de servicio con el fin de que la respuesta del servidor sea más lenta. Debemos recordar que los ataques de denegación de servicio evitan, colapsando los servidores, que los servicios puedan funcionar correctamente.

Mencionar también los ataques HPACK bomb (que permite que el atacante envíe mensajes que aparecentemente son pequeños y sin peligro, pero que se convierten en grandes), dependency cycle attack (el cual aprovecha los mecanismos de control de flujo de HTTP/2) y el stream multiplexing abuse (que permite sacar provecho a un fallo en la funcionalidad de multiplexación con el fin de bloquear el servidor).

Actualmente, más de 85 millones de páginas utilizan el protocolo HTTP/2, por lo que son vulnerables a los ataques que hemos mencionado. En todo caso, se espera que los encargados del paquete puedan publicar alguna actualización o parche que evite futuros problemas, tanto en funcionamiento como en seguridad.

Vía | Help Net Security
Foto | Wikimedia Commons – IETF HTTP Working Group (HTTPbis)

El BitCoin pierde valor después del robo de 120.000 unidades
El BitCoin pierde valor después del robo de 120.000 unidades
Apple pagará hasta 200.000 dólares por descubrir vulnerabilidades
Apple pagará hasta 200.000 dólares por descubrir vulnerabilidades

Destacados

Cómo influye un buen hosting para el posicionamiento SEO Cómo influye un buen hosting para el posicionamiento SEO
Estas son las versiones de Internet Explorer que dejarán de tener soporte Estas son las versiones de Internet Explorer que dejarán de tener soporte
La guerra contra la publicidad, peor de lo que pensábamos La guerra contra la publicidad, peor de lo que pensábamos

Comentarios cerrados