Facebook TLS1.3开源项目Fizz库存在DoS漏洞 可被用来发起大型DDoS攻击

Facebook TLS1.3开源项目Fizz库存在DoS漏洞 可被用来发起大型DDoS攻击

黑客安全访客2021-10-11 14:37:007833A+A-

Facebook的传输层安全(TLS)1.3协议的开源项目Fizz中的关键拒绝服务(DoS)漏洞可能导致执行代码进入无限循环的状态,从而不能正常提供服务,最终导致依赖它的任何Web服务停止运行。我们建议使用该项目的用户应立即升级,以免受到影响。

Semmle的研究员Kevin Backhouse发现了Facebook Fizz项目中的漏洞bug(CVE-2019-3560)。Fizz用于大多数Facebook自己的基础设施,以促进使用TLS 1.3(即https而不是http)与Web服务的安全通信,它在去年8月公开供其他组织中的项目使用。

根据本周发布的Semmle咨询报告,

攻击者通过TCP向任何使用Fizz的服务器发送恶意消息,使 整数溢出,导致无限循环。

研究人员称,

攻击者的攻击成本非常低,只需一个小型的僵尸网络就可以削弱一个大型数据中心的能力。 令人庆幸的是,利用漏洞攻击只能使攻击者破坏正常服务,但不会对用户数据或内容进行未经授权的访问。

Facebook已经修复了其自己的Fizz实现中的缺陷,并发布了一个最新补丁 版本2019.02.25.00(及更高版本)中

研究人员说:

“所有其他依赖Fizz的网络应用程序都应该立即升级他们的Fizz库,”

对漏洞的修复很简单:“使用比uint16_t更大的类型来计算加法,那就不会导致整数溢出了”

参考链接:https://threatpost.com/dos-bug-facebook-fizz-tls/143086/

原文链接:http://toutiao.secjia.com/article/page?topid=111330
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 鸠骨萌懂2022-05-30 11:41:34
  • hreatpost.com/dos-bug-facebook-fizz-tls/143086/原文链接:http://toutiao.secjia.com/article/page?topid=111330
  • 听弧颜于2022-05-30 18:35:55
  • facebook-fizz-tls/143086/原文链接:http://toutiao.secjia.com/article/page?topid=111330
  • 嘻友怯慌2022-05-30 17:34:54
  • 的网络应用程序都应该立即升级他们的Fizz库,”对漏洞的修复很简单:“使用比uint16_t更大的类型来计算加法,那就不会导致整数溢出了”参考链接:https://threatpost.com/dos-

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理