The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook"  +/
Сообщение от opennews (?), 23-Мрт-19, 11:57 
В Fizz (https://github.com/facebookincubator/fizz/), развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена (hhttps://lgtm.com/blog/facebook_fizz_CVE-2019-3560) уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения.

Воспользовавшись уязвимостью атакущий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил (https://github.com/facebookincubator/fizz/commit/40bbb161e72...) уязвимость до раскрытия сведений о её наличии.

URL: https://semmle.com/news/denial-service-dos-vulnerability-fac...
Новость: https://www.opennet.me/opennews/art.shtml?num=50380

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –5 +/
Сообщение от Аноним (4), 23-Мрт-19, 13:17 
> C++14...целочисленного переполнения...уязвимость...DoS-атаку

Что нужно сделать, чтобы такого больше никогда не происходило?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +3 +/
Сообщение от Аноним (5), 23-Мрт-19, 13:22 
Использовать Cppcheck и Valgrind, очевидно.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +10 +/
Сообщение от hr.facebook (?), 23-Мрт-19, 14:03 
> Использовать Cppcheck и Valgrind, очевидно.

Я вижу у Вас глубокие познания С++. У нас открыта вакансия "C++ Software Engineer". Скиньте своё резюме на jobs@facebook.com

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

27. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –1 +/
Сообщение от Аноним (27), 24-Мрт-19, 01:18 
В приличном обществе, озвучивают позицию и зарплатную вилку, а с предложением скинуть вы к своей подруге обращайтесь в чатике.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +2 +/
Сообщение от Аноним (33), 24-Мрт-19, 12:15 
Я смотрю, сарказм это не твое?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

24. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от Аноним (24), 24-Мрт-19, 00:01 
>Использовать Cppcheck и Valgrind, очевидно.

У них Александреску был и все равно не помогло, а ты cppcheck

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –3 +/
Сообщение от Аноним (6), 23-Мрт-19, 13:30 
Уверывать в труды Р.Столлмана.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –3 +/
Сообщение от Аноним (7), 23-Мрт-19, 13:50 
Думать головой, но это не модно.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +1 +/
Сообщение от Аноним (9), 23-Мрт-19, 14:11 
Грамотно проектировать, тестировать. А не херяк-херяк и в продакшн, лишь бы моднее быть.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –2 +/
Сообщение от Нанобот (ok), 23-Мрт-19, 14:29 
заменить людей на машины с ИИ
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от Аноним (12), 23-Мрт-19, 15:28 
А ИИ точно не будет никогда ошибаться?
А то получиться тоже самое что и мешки с костями или хуже.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от Аноним (24), 24-Мрт-19, 01:53 
>А ИИ точно не будет никогда ошибаться?

Нет! Слава Роботам!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от Boeing (?), 23-Мрт-19, 16:23 
We tried that on Boeing 737 max ... bad result... odnako...
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от Crazy Alex (ok), 23-Мрт-19, 19:00 
И то не поможет. Ошибки, блин, бывают, и это не лечится.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +1 +/
Сообщение от Берия (?), 24-Мрт-19, 00:49 
>Ошибки, блин, бывают, и это не лечится.

У каждой ошибки есть Имя, Фамилия и должность.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  –2 +/
Сообщение от Crazy Alex (ok), 24-Мрт-19, 06:38 
вот только цитат всяких ушлёпков не хватало
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

34. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +1 +/
Сообщение от _ (??), 24-Мрт-19, 21:35 
Ну так не оставляй свои цитаты здесь, казалось бы чего проще то?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от _ (??), 24-Мрт-19, 21:41 
>У каждой ошибки есть Имя, Фамилия и должность.

Чтобы это снова заработало, тебя вначале поставят к стенке за то что ты с государственного оборудования в рабочее время на *оно* форумах борцунствовал :-))))
Да нах оно не надо. Ну ошибка. Ну и что?
Можно подумать про вас и так не знают __всего__ (даже чего вы сами про себя не занаете) ... пфиу.
А те кто по приватности заморочен и так FB обходит за 146 морских миль :-)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от пох (?), 25-Мрт-19, 18:24 
_до_ того.

После чего (одному из десяти, которому повезет) заменяют расстрел пожизненной каторгой - и ни на какие форумы оно он не ходит. И искренне благодарен благодетелям - могли ведь и расстрелять!


> А те кто по приватности заморочен и так FB обходит

пока очередной hr не требует предъявить профиль для завязки разговора.
Да, пока выбор есть - но чем дальше, тем больше он будет съеживаться.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

11. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +3 +/
Сообщение от Аноним (11), 23-Мрт-19, 15:07 
>> C++14...целочисленного переполнения...уязвимость...DoS-атаку
>
> Что нужно сделать, чтобы такого больше никогда не происходило?

Закрыть Facebook, очевидно же.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

36. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от _ (??), 24-Мрт-19, 21:44 
Эх! ... да кто ж ему дастЪ?!(С)
Агнцы сами на себя стучат, соревнуясь что скорее и точнее ?-) Просто Шамбала для всяких там внутренних и внешних ... органов :-)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +3 +/
Сообщение от Онаним (?), 23-Мрт-19, 15:59 
Прекратить писать ПО. Нет ПО - нет проблем.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +1 +/
Сообщение от px (??), 23-Мрт-19, 19:07 
Переписать всё на rust :D
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от px (??), 23-Мрт-19, 19:09 
Впрочем, предидущее предложениее более надёжно предотвратит такое поведение
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +3 +/
Сообщение от Аноним (22), 23-Мрт-19, 20:42 
>Переписать всё на rust

Что, бишь, там было в расте с целочисленным переполнением? Вроде бы на дебажных сборках падение, а на остальных — как везде?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +2 +/
Сообщение от Ordu (ok), 24-Мрт-19, 06:05 
Угу.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от _ (??), 24-Мрт-19, 21:48 
>Переписать всё на rust :D

Всё таки создатели раста - гении ... в HR! 8-)
Это сколько дураков сразу же отфильтровывается, это ж просто ППЦ! Поклон до земли Вам робяты! :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +1 +/
Сообщение от Аноним (39), 25-Мрт-19, 05:48 
> на rust

на жабоскрипте и обернуть в электрон

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebo..."  +/
Сообщение от ананимас (?), 25-Мрт-19, 14:54 
Rust
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру