微软2月20日发出安全公告,警告一只存在IIS中的漏洞可能让黑客发动恶意HTTP/2调用,让系统CPU使用率冲高到100%,借此发动拒绝服务(denial of service, DoS)攻击,令网站断线。
HTTP/2是1999年发布的HTTP/1.1之后的更新版,大幅改善了浏览器的网页下载速度。根据微软ADV190005的安全公告,HTTP/2配置能让用户端指定SETTINGS frames的任何参数。但在某些情况下,过度设置可能使网页服务不稳定,导致服务器CPU使用量短时间冲高到100%,一直到达链接时间上限,由网页服务器IIS切断链接,也就达到了DoS攻击的效果。
受到本漏洞影响的产品包括Windows 10及Windows Server 2016中的IIS。
为解决上述漏洞,微软已发布非安全累积更新,包括KB4487006、KB4487011KB4487021及KB4487029。在这些修补程序中,微软为IIS加入为HTTP/2调用定义SETTINGS数量阈值的功能。这个阈值必须由IIS管理员定义,而非由微软默认。至于要怎么定义,微软也公布相关的支持说明。
微软表示本漏洞没有缓和威胁或权宜作法,呼呼吁IIS管理员最好尽快安装修补程序。