新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现

新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现 在thehackernews的报道中，安全研究员Bartek Nowotarski 于 1 月 25 日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2 CONTINUATION Flood"，它利用了配置不当的HTTP/2 实现，这些实现未能限制或净化请求数据流中的 CONTINUATION 帧。CONTINUATION 帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的 END_HEADERS 标志，表明没有其他 CONTINUATION 或其他帧时，先前分割的报头块就被视为已完成。如果 HTTP/2 实现不限制单个数据流中可发送的 CONTINUATION 帧的数量，就很容易受到攻击。如果攻击者开始向未设置 END_HEADERS 标志的易受攻击服务器发送 HTTP 请求，该请求将允许攻击者向该服务器持续发送 CONTINUATION 帧流，最终导致服务器内存不足而崩溃，并导致成功的拒绝服务 (DoS) 攻击。CERT 还列举了该漏洞的另一个变种，即使用 HPACK Huffman 编码的 CONTINUATION 帧造成 CPU 资源耗尽，同样导致 DoS 攻击成功。Nowotarski 指出，这意味着单台机器甚至单TCP连接都有可能破坏服务器的可用性，造成从服务崩溃到性能下降等各种后果。分布式拒绝服务（DDoS）攻击会创建大规模僵尸网络，通过纯粹的流量来压垮网络，而 DoS 攻击则不同，它可以通过向传输控制协议（TCP）连接发送大量请求来耗尽目标服务器的资源，从而利用单个设备制造虚假网络流量。与该新漏洞有关的几个常见漏洞和暴露 (CVE) 记录已经创建。这些记录包括：CVE-2024-2653 - amphp/httpCVE-2024-27316 - Apache HTTP Server: HTTP/2 DoS by memory exhaustion on endless continuation framesCVE-2024-24549 - Apache Tomcat: HTTP/2 header handling DoSCVE-2024-31309 - Resource exhaustion in Apache Traffic ServerCVE-2024-27919 - HTTP/2: memory exhaustion due to CONTINUATION frame floodCVE-2024-30255) - HTTP/2: CPU exhaustion due to CONTINUATION frame floodCVE-2023-45288 - HTTP/2 CONTINUATION flood in net/httpCVE-2024-28182 - Reading unbounded number of HTTP/2 CONTINUATION frames to cause excessive CPU usageCVE-2024-27983 - node::http2::Http2Session::~Http2Session() leads to HTTP/2 server crashCVE-2024-2758 - Tempesta FW rate limits are not enabled by default建议用户将受影响的软件升级到最新版本，以减轻潜在威胁。在没有修复程序的情况下，建议考虑暂时禁用服务器上的 HTTP/2。根据的一项调查，目前约有 35.5% 的网站使用 HTTP/2。 ... PC版： 手机版：

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件 上周，网名为 Slonser 的 Vsevolod Kokorin 在 X（Twitter 的前身）上写道，他发现了电子邮件欺骗漏洞并向微软报告，但微软在表示无法重现他的发现后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞，但没有提供技术细节以帮助其他人利用这一漏洞。"微软只是说他们无法重现，但没有提供任何细节，"Koroin 在一次在线聊天中表示。"微软可能注意到了我的推文，因为几个小时前他们重新打开了[原文如此]我几个月前提交的一份报告。"据 Kokorin 称，该漏洞仅在向 Outlook 账户发送电子邮件时有效。不过，根据微软最新的财报，其在全球至少有 4 亿用户。科科林说，他最后一次与微软联系是在6月15日。"我没想到我的帖子会引起如此大的反响。老实说，我只是想分享我的挫败感，因为这种情况让我很难过，"Kokorin说。"许多人误解了我，以为我想要钱或类似的东西。实际上，我只是希望公司不要忽视研究人员，当你试图帮助他们时，他们应该更加友好。"目前还不清楚是否有 Kokorin 以外的其他人发现了这个漏洞，或者这个漏洞是否已被恶意利用。尽管目前尚不清楚这一漏洞的威胁，但微软近年来已经历了多次安全问题，并引发了联邦监管机构和国会立法者的调查。上周，微软总裁布拉德-史密斯（Brad Smith）在众议院听证会上作证，此前中国黑客于2023年从微软服务器上窃取了一批美国联邦政府电子邮件。史密斯在听证会上承诺，在经历了一系列安全丑闻之后，公司将继续努力把网络安全放在首位。几个月前的一月份，微软证实，一个与俄罗斯政府有关联的黑客组织侵入了微软公司的电子邮件账户，窃取了公司高层对黑客本身的了解。上周，ProPublica 揭露，微软没有注意到关于一个关键漏洞的警告，该漏洞后来在俄罗斯支持的针对科技公司 SolarWinds 的网络间谍活动中被利用。 ... PC版： 手机版：

Fedora Linux 38 用户被告知应立即升级 否则将面临漏洞风险

Fedora Linux 38 用户被告知应立即升级 否则将面临漏洞风险 Fedora Linux 是目前最流行的 Linux 发行版之一。它与 Ubuntu 类似，每六个月左右发布一次新版本，但每次发布的新版本通常都会包含更先进的软件。和其他操作系统一样，Fedora 版本到了生命末期就不再接受安全更新。Fedora 40 于四月发布，这意味着 Fedora 38 将于五月下架。用户只需升级到 Fedora 39 就可以继续获得支持服务，如果愿意，也可以跳到 Fedora 40。Fedora 39 将支持到 Fedora 41 发布后一个月，而 Fedora 41 目前计划于 10 月中旬发布，这意味着 Fedora 39 在 11 月中旬之前都是正常的。升级 Fedora 系统非常简单，只需打开软件并进入更新选项卡，应用任何可用的更新，然后就可以看到升级到下一版本的通知，点击该通知并按流程操作如果网络连接良好，升级不会占用太多时间。根据 Fedora 打包团队的 Samyak Jain 的说法，一旦 Fedora 38 的更新结束，官方将不再提供安全更新或安全公告。它的所有其他更新也将结束。由于没有安全更新，Fedora 38 每过一天就会越来越容易受到攻击。您可以继续在系统上运行该版本，它不会停止工作，但等待的时间越长，风险就越大。随着时间的推移，缺乏更新将意味着隐患最大的浏览器会变得过时，这对激素那几来说可能非常危险，因为它的使用量很大，而且比 Linux 系统本身更具针对性。 ... PC版： 手机版：

新发现的生物标志物可以通过一次简单的血液化验确定糖尿病风险

新发现的生物标志物可以通过一次简单的血液化验确定糖尿病风险 目前用于预测 2 型糖尿病风险的最常用炎症生物标志物是高敏 C 反应蛋白（CRP）。然而，新的研究表明，联合评估生物标志物，而不是单独评估每一种生物标志物，将提高预测糖尿病风险和糖尿病并发症的几率。ECU研究员吴丹（Dan Wu）的一项研究调查了系统性炎症（通过联合累积高敏CRP和另一种称为单核细胞与高密度脂蛋白比值MHR的生物标志物评估）与2型糖尿病发病之间的联系。这项研究对 40800 多名非糖尿病参与者进行了近十年的跟踪研究，其中 4800 多人在此期间患上了糖尿病。吴说，在这些罹患2型糖尿病的患者中，观察到MHR与CRP之间存在显著的交互作用。"具体来说，在每个 CRP 层中，MHR 的增加都会增加 2 型糖尿病的风险；MHR 和 CRP 的同时增加会显著提高糖尿病的发病率和风险。此外，慢性炎症（由MHR和CRP的联合累积暴露量反映）与糖尿病发病之间的关联具有高度的年龄和性别特异性，并受高血压、高胆固醇或糖尿病前期的影响。在临床风险模型中加入MHR和CRP能显著改善对糖尿病发病的预测，"吴说。女性风险最高研究发现，女性因 CRP 和 MHR 的共同增加而患 2 型糖尿病的风险更大，性激素可能是造成这些差异的原因。研究结果证实了慢性炎症参与导致早发糖尿病，值得特别关注。"流行病学证据表明，早发糖尿病的发病率持续上升，尤其是在发展中国家。"她补充说："利用慢性炎症与2型糖尿病之间的这种年龄特异性关联，可能是实现早期识别高危青壮年并制定个性化干预措施的一种很有前景的方法。"吴指出，糖尿病的慢性进展性和后续并发症的巨大负担进一步凸显了解决这一关键健康问题的迫切需要。虽然衰老和遗传是不可改变的风险因素，但其他风险因素可以通过改变生活方式来改变。炎症受生活活动和代谢状况（如饮食、睡眠紊乱、慢性压力、葡萄糖和胆固醇失调）的影响很大，因此监测与风险相关的代谢状况具有潜在的益处。吴说，累积 MHR 和 CRP 具有成本效益和在当前临床环境中广泛可用的双重优势，这使得这些指标作为预测糖尿病风险的便捷工具得到广泛应用。编译自:ScitechDaily ... PC版： 手机版：