SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Виртуальные сим карты онлайн
info: Сервер приема СМС работает.

Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает уязвимости, связанные с отказом в обслуживании (DoS), гигант социальных сетей решил присудить значительную награду за серьезный недостаток, связанный с Fizz, его TLS-библиотекой с открытым исходным кодом.

Для регистрации странички Facebook вам нужен мобильный номер что бы подтвердить свой аккаунт, вы можете купить виртуальный номер для приема смс и получить код подтверждения онлайн, не указывая личные данные.

Fizz, выпущенная Facebook в качестве открытого источника в августе 2018 года, является реализацией компанией криптографического протокола TLS 1.3. В то время, когда Fizz была обнародована, Fizz использовался для защиты связи в своих мобильных приложениях, балансировщиках нагрузки, внутренних службах, среде Proxygen HTTP и других приложениях. Другие организации и проекты с открытым исходным кодом, возможно, также начали использовать его после его выпуска в качестве открытого источника.

Уязвимость Fizz в Facebook. 
Исследователь из компании по анализу кода Semmle обнаружил, что Fizz подвержена уязвимости DoS, которая может быть легко активирована удаленным злоумышленником, не прошедшим проверку подлинности. Использование этого недостатка приводит к тому, что Fizz заходит в бесконечный цикл, в результате чего веб-сервис становится недоступным. Недостаток нельзя использовать для получения доступа к пользовательским данным, подтвердили и Facebook, и Semmle.

«Влияние этой уязвимости заключается в том, что злоумышленник может отправить вредоносное сообщение через TCP на любой сервер, использующий Fizz, и запустить бесконечный цикл на этом сервере. Это может сделать сервер невосприимчивым к другим клиентам», - объяснил Кевин Бэкхаус, исследователь Семмла, который обнаружил недостаток.

«Размер сообщения составляет чуть более 64 КБ, поэтому эта атака является чрезвычайно дешевой для злоумышленника, но наносит ущерб серверу. Чтобы проиллюстрировать это, один компьютер с обычным интернет-соединением (скорость загрузки 1 Мбит/с) может отправлять два таких сообщения в секунду. Поскольку каждое сообщение выбивает одно ядро ​​ЦП, потребуется всего лишь небольшой ботнет, чтобы быстро ослабить весь центр обработки данных», - добавил он.

Об этой уязвимости было сообщено в Facebook 20 февраля, и в тот же день был выпущен патч для внутренних систем Facebook. Исправление было отправлено на GitHub пять дней спустя - патч включен в версию 2019.02.25.00 и более поздние.

Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает DoS-уязвимости, компания решила назначить вознаграждение в размере 10 000 долларов США в связи с тем фактом, что проблема «могла иметь значительный риск». Семмл пожертвовал награду на благотворительность, поэтому Facebook удвоил сумму, и фирма по анализу кода также подобрала оригинальную награду и пожертвовала ее другой благотворительной организации.


2019-03-22 14:57:35


<<- Борьба с огнем: риски автоматизации API

Множество уязвимостей, обнаруженных в технологии Java Card от Oracle ->>