Microsoft在IIS上发布安全警报 导致100％的CPU使用率峰值

微软安全响应中心昨天发布了一份关于影响IIS(Internet信息服务)的微软服务器技术的拒绝服务(DOS)问题的安全公告。

根据Microsoft的说法，Windows 10和Windows Server 2016附带的IIS服务器在处理HTTP / 2请求时会受到漏洞的影响。

HTTP / 2是HTTP协议的最新版本，它支持所谓的万维网(www)，这是普通用户可以在其浏览器中访问的互联网部分。

微软表示，在某些情况下，处理HTTP / 2请求的IIS服务器可能导致CPU使用率飙升至100%，从而有效地阻止或减慢整个系统的速度。

F5 Networks的软​​件工程师Gal Goldshtein发现了这个问题。除了Microsoft的ADV190005安全通报之外，没有关于此漏洞的其他公开详细信息。

在其咨询中，微软将此问题描述如下：

HTTP / 2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧。在某些情况下，过多的设置可能导致服务变得不稳定，并可能导致临时CPU使用率峰值，直到达到连接超时并关闭连接。

这家位于Redmond的操作系统制造商通过添加定义IIS服务器能够处理的HTTP / 2请求中包含的SETTINGS参数数量的阈值来解决该问题。

两天前发布了累积更新KB4487006，KB4487011，KB4487021和KB4487029，以解决IIS DOS错误。

应用更新后，IIS管理员将能够自定义HTTP / 2 SETTINGS阈值并防止该错误冻结IIS Web服务。

“阈值必须由IIS管理员定义，”该公司表示，“它们并非由微软预设。”