您的位置首页 >资讯 >

Microsoft在IIS上发布安全警报导致100%的CPU使用率峰值

微软安全响应中心昨天发布了一份关于影响IIS(Internet信息服务)的微软服务器技术的拒绝服务(DOS)问题的安全公告。

打开包装:GALAXY S10

你应该买哪种型号?

S10 Plus或注9:哪种最适合商业用途?

我想要这些规格,但使用价值1,980美元的可折叠手机怎么办?

无线PowerShare:公路战士的隐藏功能

为什么没有5G的昂贵的智能手机升级只是愚蠢的

S10 5G将在Verizon(CNET)上独家推出

Galaxy对IT意味着什么(TechRepublic)

根据Microsoft的说法,Windows 10和Windows Server 2016附带的IIS服务器在处理HTTP / 2请求时会受到漏洞的影响。

HTTP / 2是HTTP协议的最新版本,它支持所谓的万维网(www),这是普通用户可以在其浏览器中访问的互联网部分。

微软表示,在某些情况下,处理HTTP / 2请求的IIS服务器可能导致CPU使用率飙升至100%,从而有效地阻止或减慢整个系统的速度。

F5 Networks的软​​件工程师Gal Goldshtein发现了这个问题。除了Microsoft的ADV190005安全通报之外,没有关于此漏洞的其他公开详细信息。

在其咨询中,微软将此问题描述如下:

HTTP / 2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧。在某些情况下,过多的设置可能导致服务变得不稳定,并可能导致临时CPU使用率峰值,直到达到连接超时并关闭连接。

这家位于Redmond的操作系统制造商通过添加定义IIS服务器能够处理的HTTP / 2请求中包含的SETTINGS参数数量的阈值来解决该问题。

两天前发布了累积更新KB4487006,KB4487011,KB4487021和KB4487029,以解决IIS DOS错误。

应用更新后,IIS管理员将能够自定义HTTP / 2 SETTINGS阈值并防止该错误冻结IIS Web服务。

“阈值必须由IIS管理员定义,”该公司表示,“它们并非由微软预设。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。