Descripción:
Microsoft ha publicado un aviso sobre un error en su producto de Internet Information Services (IIS), este permite que una solicitud HTTP/2 maliciosa genere cargas excesivas en el consumo en la CPU, este uso elevado de CPU hace que IIS interrumpa la conexión provocando una denegación de Servicio (DOS).

HTTP/2 permite a un cliente modificar cualquier número en la configuración de FRAME y PARAMETERS.
En algunas situaciones, esta configuración excesiva puede hacer que los servicios se vuelvan inestables y se produzca un aumento temporal del uso de la CPU hasta que se alcance el tiempo de espera y se cierre la conexión.

Productos Afectados:
Windows 10 y Windows Server 2016.

Solución:
Instalar los parches que Microsoft lanzó el 19 de febrero del 2019:
KB4487006
KB4487011
KB4487021
KB4487029
Posteriormente, establecer los parámetros Http2MaxSettingsPerFrame y Http2MaxSettingsPerMinute en el registro de Windows.

Referencias:
https://support.microsoft.com/es-co/help/4487006/windows-10-update-kb4487006

https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange

https://www.theregister.co.uk/AMP/2019/02/21/http2_iis_microsoft/

https://www.cbronline.com/news/http2-requests

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like