SIMonline

Сервис приема & отправки SMS

Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

42   |     /   Security
Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS
Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает уязвимости, связанные с отказом в обслуживании (DoS), гигант социальных сетей решил присудить значительную награду за серьезный недостаток, связанный с Fizz, его TLS-библиотекой с открытым исходным кодом.



Для регистрации странички Facebook вам нужен мобильный номер что бы подтвердить свой аккаунт, вы можете купить виртуальный номер для приема смс и получить код подтверждения онлайн, не указывая личные данные.

Fizz, выпущенная Facebook в качестве открытого источника в августе 2018 года, является реализацией компанией криптографического протокола TLS 1.3. В то время, когда Fizz была обнародована, Fizz использовался для защиты связи в своих мобильных приложениях, балансировщиках нагрузки, внутренних службах, среде Proxygen HTTP и других приложениях. Другие организации и проекты с открытым исходным кодом, возможно, также начали использовать его после его выпуска в качестве открытого источника.

Уязвимость Fizz в Facebook. 
Исследователь из компании по анализу кода Semmle обнаружил, что Fizz подвержена уязвимости DoS, которая может быть легко активирована удаленным злоумышленником, не прошедшим проверку подлинности. Использование этого недостатка приводит к тому, что Fizz заходит в бесконечный цикл, в результате чего веб-сервис становится недоступным. Недостаток нельзя использовать для получения доступа к пользовательским данным, подтвердили и Facebook, и Semmle.

«Влияние этой уязвимости заключается в том, что злоумышленник может отправить вредоносное сообщение через TCP на любой сервер, использующий Fizz, и запустить бесконечный цикл на этом сервере. Это может сделать сервер невосприимчивым к другим клиентам», - объяснил Кевин Бэкхаус, исследователь Семмла, который обнаружил недостаток.

«Размер сообщения составляет чуть более 64 КБ, поэтому эта атака является чрезвычайно дешевой для злоумышленника, но наносит ущерб серверу. Чтобы проиллюстрировать это, один компьютер с обычным интернет-соединением (скорость загрузки 1 Мбит/с) может отправлять два таких сообщения в секунду. Поскольку каждое сообщение выбивает одно ядро ​​ЦП, потребуется всего лишь небольшой ботнет, чтобы быстро ослабить весь центр обработки данных», - добавил он.

Об этой уязвимости было сообщено в Facebook 20 февраля, и в тот же день был выпущен патч для внутренних систем Facebook. Исправление было отправлено на GitHub пять дней спустя - патч включен в версию 2019.02.25.00 и более поздние.

Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает DoS-уязвимости, компания решила назначить вознаграждение в размере 10 000 долларов США в связи с тем фактом, что проблема «могла иметь значительный риск». Семмл пожертвовал награду на благотворительность, поэтому Facebook удвоил сумму, и фирма по анализу кода также подобрала оригинальную награду и пожертвовала ее другой благотворительной организации.

Похожие новости


Борьба с огнем: риски автоматизации API

Рассмотрим тенденции атак API, такие как текущие (и неудачные) архитектурные решения для обеспечения безопасности этих транзакций API.

Троян SpeakUp угроза Linux серверу

Исследователи полагают, что новый троян может стать катализатором предстоящего крупного кибер-наступления, вооруженного впечатляющим пакетом эксплойтов и других уловок для распространения.

Что такое атаки с манипуляцией данных и как с ними бороться?

Хакеры не всегда крадут данные. Иногда цель состоит в том, чтобы манипулировать данными, чтобы преднамеренно инициировать внешние события, на которых можно извлечь выгоду.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2020

All rights reserved