07.03.16 16:18

DFN-CERT-2016-0262: Nghttp2: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff (Linux, Fedora, SuSE)

 

 

Durch die Verwendung von HPACK zur Komprimierung von Kopfdaten in einen sehr kleinen Speicherbereich ist es möglich, mit Hilfe speziell präparierter HTTP-Anfragen den Speicher für Kopfdaten zu erschöpfen. Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

Der Hersteller informiert über die Schwachstelle und stellt die Programmversion Nghttp2 1.7.1 als Sicherheitsupdate zur Verfügung. Für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 7 stehen Sicherheitsupdates auf die Version 1.7.1 im Status 'testing' bereit.