压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Facebook的傳輸層安全（TLS）1.3協(xié)議的開源項(xiàng)目Fizz中的關(guān)鍵拒絕服務(wù)（DoS）漏洞可能導(dǎo)致執(zhí)行代碼進(jìn)入無限循環(huán)的狀態(tài)，從而不能正常提供服務(wù)，最終導(dǎo)致依賴它的任何Web服務(wù)停止運(yùn)行。我們建議使用該項(xiàng)目的用戶應(yīng)立即升級(jí)，以免受到影響。

Semmle的研究員Kevin Backhouse發(fā)現(xiàn)了Facebook Fizz項(xiàng)目中的漏洞bug（CVE-2019-3560）。Fizz用于大多數(shù)Facebook自己的基礎(chǔ)設(shè)施，以促進(jìn)使用TLS 1.3（即https而不是http）與Web服務(wù)的安全通信，它在去年8月公開供其他組織中的項(xiàng)目使用。

根據(jù)本周發(fā)布的Semmle咨詢報(bào)告，

攻擊者通過TCP向任何使用Fizz的服務(wù)器發(fā)送惡意消息，使?整數(shù)溢出，導(dǎo)致無限循環(huán)。

研究人員稱，

攻擊者的攻擊成本非常低，只需一個(gè)小型的僵尸網(wǎng)絡(luò)就可以削弱一個(gè)大型數(shù)據(jù)中心的能力。?令人慶幸的是，利用漏洞攻擊只能使攻擊者破壞正常服務(wù)，但不會(huì)對(duì)用戶數(shù)據(jù)或內(nèi)容進(jìn)行未經(jīng)授權(quán)的訪問。

Facebook已經(jīng)修復(fù)了其自己的Fizz實(shí)現(xiàn)中的缺陷，并發(fā)布了一個(gè)最新補(bǔ)丁?版本2019.02.25.00（及更高版本）中

研究人員說：

“所有其他依賴Fizz的網(wǎng)絡(luò)應(yīng)用程序都應(yīng)該立即升級(jí)他們的Fizz庫，”

對(duì)漏洞的修復(fù)很簡(jiǎn)單：“使用比uint16_t更大的類型來計(jì)算加法，那就不會(huì)導(dǎo)致整數(shù)溢出了”

參考鏈接：https://threatpost.com/dos-bug-facebook-fizz-tls/143086/

原文鏈接：http://toutiao.secjia.com/article/page?topid=111330