URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 116904
[ Назад ]

Исходное сообщение
"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook"
Отправлено opennews , 23-Мрт-19 11:57

В Fizz (https://github.com/facebookincubator/fizz/), развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена (hhttps://lgtm.com/blog/facebook_fizz_CVE-2019-3560) уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения.
Воспользовавшись уязвимостью атакущий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил (https://github.com/facebookincubator/fizz/commit/40bbb161e72...) уязвимость до раскрытия сведений о её наличии.
URL: https://semmle.com/news/denial-service-dos-vulnerability-fac...
Новость: https://www.opennet.me/opennews/art.shtml?num=50380

Содержание

Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 13:17 , 23-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 13:22 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,hr.facebook, 14:03 , 23-Мрт-19
    - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 01:18 , 24-Мрт-19
      - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 12:15 , 24-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 00:01 , 24-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 13:30 , 23-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 13:50 , 23-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 14:11 , 23-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Нанобот, 14:29 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 15:28 , 23-Мрт-19
    - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 01:53 , 24-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Boeing, 16:23 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Crazy Alex, 19:00 , 23-Мрт-19
    - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Берия, 00:49 , 24-Мрт-19
      - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Crazy Alex, 06:38 , 24-Мрт-19
        
        Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,_, 21:35 , 24-Мрт-19
      - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,_, 21:41 , 24-Мрт-19
        
        Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,пох, 18:24 , 25-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 15:07 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,_, 21:44 , 24-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Онаним, 15:59 , 23-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,px, 19:07 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,px, 19:09 , 23-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 20:42 , 23-Мрт-19
    - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Ordu, 06:05 , 24-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,_, 21:48 , 24-Мрт-19
  - Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,Аноним, 05:48 , 25-Мрт-19
- Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo...,ананимас, 14:54 , 25-Мрт-19

Сообщения в этом обсуждении

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 13:17

> C++14...целочисленного переполнения...уязвимость...DoS-атаку
Что нужно сделать, чтобы такого больше никогда не происходило?

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 13:22

Использовать Cppcheck и Valgrind, очевидно.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено hr.facebook , 23-Мрт-19 14:03

> Использовать Cppcheck и Valgrind, очевидно.
Я вижу у Вас глубокие познания С++. У нас открыта вакансия "C++ Software Engineer". Скиньте своё резюме на jobs@facebook.com

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 24-Мрт-19 01:18

В приличном обществе, озвучивают позицию и зарплатную вилку, а с предложением скинуть вы к своей подруге обращайтесь в чатике.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 24-Мрт-19 12:15

Я смотрю, сарказм это не твое?

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 24-Мрт-19 00:01

>Использовать Cppcheck и Valgrind, очевидно.
У них Александреску был и все равно не помогло, а ты cppcheck

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 13:30

Уверывать в труды Р.Столлмана.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 13:50

Думать головой, но это не модно.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 14:11

Грамотно проектировать, тестировать. А не херяк-херяк и в продакшн, лишь бы моднее быть.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Нанобот , 23-Мрт-19 14:29

заменить людей на машины с ИИ

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 15:28

А ИИ точно не будет никогда ошибаться?
А то получиться тоже самое что и мешки с костями или хуже.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 24-Мрт-19 01:53

>А ИИ точно не будет никогда ошибаться?
Нет! Слава Роботам!

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Boeing , 23-Мрт-19 16:23

We tried that on Boeing 737 max ... bad result... odnako...

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Crazy Alex , 23-Мрт-19 19:00

И то не поможет. Ошибки, блин, бывают, и это не лечится.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Берия , 24-Мрт-19 00:49

>Ошибки, блин, бывают, и это не лечится.
У каждой ошибки есть Имя, Фамилия и должность.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Crazy Alex , 24-Мрт-19 06:38

вот только цитат всяких ушлёпков не хватало

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено _ , 24-Мрт-19 21:35

Ну так не оставляй свои цитаты здесь, казалось бы чего проще то?

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено _ , 24-Мрт-19 21:41

>У каждой ошибки есть Имя, Фамилия и должность.
Чтобы это снова заработало, тебя вначале поставят к стенке за то что ты с государственного оборудования в рабочее время на *оно* форумах борцунствовал :-))))
Да нах оно не надо. Ну ошибка. Ну и что?
Можно подумать про вас и так не знают __всего__ (даже чего вы сами про себя не занаете) ... пфиу.
А те кто по приватности заморочен и так FB обходит за 146 морских миль :-)

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено пох , 25-Мрт-19 18:24

_до_ того.
После чего (одному из десяти, которому повезет) заменяют расстрел пожизненной каторгой - и ни на какие форумы оно он не ходит. И искренне благодарен благодетелям - могли ведь и расстрелять!

> А те кто по приватности заморочен и так FB обходит
пока очередной hr не требует предъявить профиль для завязки разговора.
Да, пока выбор есть - но чем дальше, тем больше он будет съеживаться.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 15:07

>> C++14...целочисленного переполнения...уязвимость...DoS-атаку
>
> Что нужно сделать, чтобы такого больше никогда не происходило?
Закрыть Facebook, очевидно же.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено _ , 24-Мрт-19 21:44

Эх! ... да кто ж ему дастЪ?!(С)
Агнцы сами на себя стучат, соревнуясь что скорее и точнее ?-) Просто Шамбала для всяких там внутренних и внешних ... органов :-)

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Онаним , 23-Мрт-19 15:59

Прекратить писать ПО. Нет ПО - нет проблем.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено px , 23-Мрт-19 19:07

Переписать всё на rust :D

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено px , 23-Мрт-19 19:09

Впрочем, предидущее предложениее более надёжно предотвратит такое поведение

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 23-Мрт-19 20:42

>Переписать всё на rust
Что, бишь, там было в расте с целочисленным переполнением? Вроде бы на дебажных сборках падение, а на остальных — как везде?

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Ordu , 24-Мрт-19 06:05

Угу.

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено _ , 24-Мрт-19 21:48

>Переписать всё на rust :D
Всё таки создатели раста - гении ... в HR! 8-)
Это сколько дураков сразу же отфильтровывается, это ж просто ППЦ! Поклон до земли Вам робяты! :)

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено Аноним , 25-Мрт-19 05:48

> на rust
на жабоскрипте и обернуть в электрон

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."
Отправлено ананимас , 25-Мрт-19 14:54

Rust