Facebook的传输层安全(TLS)1.3协议的开源项目Fizz中的关键拒绝服务(DoS)漏洞可能导致执行代码进入无限循环的状态,从而不能正常提供服务,最终导致依赖它的任何Web服务停止运行。我们建议使用该项目的用户应立即升级,以免受到影响。
Semmle的研究员Kevin Backhouse发现了Facebook Fizz项目中的漏洞bug(CVE-2019-3560)。Fizz用于大多数Facebook自己的基础设施,以促进使用TLS 1.3(即https而不是http)与Web服务的安全通信,它在去年8月公开供其他组织中的项目使用。
根据本周发布的Semmle咨询报告,
攻击者通过TCP向任何使用Fizz的服务器发送恶意消息,使 整数溢出,导致无限循环。
研究人员称,
攻击者的攻击成本非常低,只需一个小型的僵尸网络就可以削弱一个大型数据中心的能力。 令人庆幸的是,利用漏洞攻击只能使攻击者破坏正常服务,但不会对用户数据或内容进行未经授权的访问。
Facebook已经修复了其自己的Fizz实现中的缺陷,并发布了一个最新补丁 版本2019.02.25.00(及更高版本)中
研究人员说:
“所有其他依赖Fizz的网络应用程序都应该立即升级他们的Fizz库,”
对漏洞的修复很简单:“使用比uint16_t更大的类型来计算加法,那就不会导致整数溢出了”
参考链接:https://threatpost.com/dos-bug-facebook-fizz-tls/143086/