Nouvelle faille découverte sur le Serveur HTTP des IBM i (powered by Apache) !
Il s’avère que ce serveur se retrouve vulnérable à une attaque par déni de service due à une mauvaise gestion des flux multiplexés dans le protocole HTTP/2. Le protocole permet aux développeurs de personnaliser la hiérarchisation ou l’ordre dans lequel les ressources Web se chargent.
Et l’envoi de nombreuses requêtes par HTTP/2 et/ou des trames RST_STREAM sur plusieurs flux, pourrais permettre à un attaquant distant de provoquer une attaque DoS dû à la consommation des ressources du serveur trop élevé.
Il faut noter également que plusieurs fournisseurs sont vulnérables à ce déni de service et que cette faille est d’indice CVSS 7.5. Afin d’empêcher l’exploitation de cette faille vous pouvez corriger ce problème une fois de plus en appliquant les PTFs suivants (que vous pouvez également retrouver sur le site officiel support pour plus de détails : https://lnkd.in/ed58amn4 )
