The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook

23.03.2019 10:55

В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения.

Воспользовавшись уязвимостью атакующий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил уязвимость до раскрытия сведений о её наличии.

  1. Главная ссылка к новости (https://semmle.com/news/denial...)
  2. OpenNews: Опубликован RFC для TLS 1.3
  3. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  4. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  5. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
  6. OpenNews: Facebook открыл код C++ библиотеки Folly
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/50380-facebook
Ключевые слова: facebook, tls, fizz
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 13:17, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > C++14...целочисленного переполнения...уязвимость...DoS-атаку

    Что нужно сделать, чтобы такого больше никогда не происходило?

     
     
  • 2.5, Аноним (5), 13:22, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Использовать Cppcheck и Valgrind, очевидно.
     
     
  • 3.8, hr.facebook (?), 14:03, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Использовать Cppcheck и Valgrind, очевидно.

    Я вижу у Вас глубокие познания С++. У нас открыта вакансия "C++ Software Engineer". Скиньте своё резюме на jobs@facebook.com

     
     
  • 4.27, Аноним (27), 01:18, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В приличном обществе, озвучивают позицию и зарплатную вилку, а с предложением скинуть вы к своей подруге обращайтесь в чатике.
     
     
  • 5.33, Аноним (33), 12:15, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я смотрю, сарказм это не твое?
     
  • 3.24, Аноним (24), 00:01, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Использовать Cppcheck и Valgrind, очевидно.

    У них Александреску был и все равно не помогло, а ты cppcheck

     
  • 2.6, Аноним (6), 13:30, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уверывать в труды Р.Столлмана.
     
  • 2.7, Аноним (7), 13:50, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Думать головой, но это не модно.
     
  • 2.9, Аноним (9), 14:11, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Грамотно проектировать, тестировать. А не херяк-херяк и в продакшн, лишь бы моднее быть.


     
  • 2.10, Нанобот (ok), 14:29, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    заменить людей на машины с ИИ
     
     
  • 3.12, Аноним (12), 15:28, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А ИИ точно не будет никогда ошибаться?
    А то получиться тоже самое что и мешки с костями или хуже.
     
     
  • 4.29, Аноним (24), 01:53, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >А ИИ точно не будет никогда ошибаться?

    Нет! Слава Роботам!

     
  • 3.15, Boeing (?), 16:23, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    We tried that on Boeing 737 max ... bad result... odnako...
     
  • 3.17, Crazy Alex (ok), 19:00, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И то не поможет. Ошибки, блин, бывают, и это не лечится.
     
     
  • 4.25, Берия (?), 00:49, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ошибки, блин, бывают, и это не лечится.

    У каждой ошибки есть Имя, Фамилия и должность.

     
     
  • 5.31, Crazy Alex (ok), 06:38, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вот только цитат всяких ушлёпков не хватало
     
     
  • 6.34, _ (??), 21:35, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так не оставляй свои цитаты здесь, казалось бы чего проще то?
     
  • 5.35, _ (??), 21:41, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >У каждой ошибки есть Имя, Фамилия и должность.

    Чтобы это снова заработало, тебя вначале поставят к стенке за то что ты с государственного оборудования в рабочее время на *оно* форумах борцунствовал :-))))
    Да нах оно не надо. Ну ошибка. Ну и что?
    Можно подумать про вас и так не знают __всего__ (даже чего вы сами про себя не занаете) ... пфиу.
    А те кто по приватности заморочен и так FB обходит за 146 морских миль :-)

     
     
  • 6.41, пох (?), 18:24, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    _до_ того.

    После чего (одному из десяти, которому повезет) заменяют расстрел пожизненной каторгой - и ни на какие форумы оно он не ходит. И искренне благодарен благодетелям - могли ведь и расстрелять!


    > А те кто по приватности заморочен и так FB обходит

    пока очередной hr не требует предъявить профиль для завязки разговора.
    Да, пока выбор есть - но чем дальше, тем больше он будет съеживаться.

     
  • 2.11, Аноним (11), 15:07, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> C++14...целочисленного переполнения...уязвимость...DoS-атаку
    >
    > Что нужно сделать, чтобы такого больше никогда не происходило?

    Закрыть Facebook, очевидно же.

     
     
  • 3.36, _ (??), 21:44, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эх! ... да кто ж ему дастЪ?!(С)
    Агнцы сами на себя стучат, соревнуясь что скорее и точнее ?-) Просто Шамбала для всяких там внутренних и внешних ... органов :-)
     
  • 2.14, Онаним (?), 15:59, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Прекратить писать ПО. Нет ПО - нет проблем.
     
  • 2.20, px (??), 19:07, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переписать всё на rust :D
     
     
  • 3.21, px (??), 19:09, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, предидущее предложениее более надёжно предотвратит такое поведение
     
  • 3.22, Аноним (22), 20:42, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Переписать всё на rust

    Что, бишь, там было в расте с целочисленным переполнением? Вроде бы на дебажных сборках падение, а на остальных — как везде?

     
     
  • 4.30, Ordu (ok), 06:05, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Угу.
     
  • 3.37, _ (??), 21:48, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Переписать всё на rust :D

    Всё таки создатели раста - гении ... в HR! 8-)
    Это сколько дураков сразу же отфильтровывается, это ж просто ППЦ! Поклон до земли Вам робяты! :)

     
  • 3.39, Аноним (39), 05:48, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на rust

    на жабоскрипте и обернуть в электрон

     
  • 2.40, ананимас (?), 14:54, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Rust
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру