Facebook заплатила 10 000 долларов за DoS-уязвимость в библиотеке Fizz - «Новости»

Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

В августе 2018 года разработчики Facebook открыли исходные коды  LS-библиотеки Fizz написанной на C++ 14 и позиционирующейся как надежная, высокоскоростная TLS-библиотека, поддерживающая все нововведения TLS 1.3 с упором на быстрое и беспроблемное развертывание.

Теперь специалист компании Semmle обнаружил в Fizz проблему CVE-2019-3560, которая позволяет потенциальному злоумышленнику (неаутентифицированному и удаленному) осуществить DoS-атаку на сервер, использующий Fizz. Через TCP атакующий может направить вредоносное сообщение серверу, из-за чего тот войдет в бесконечный цикл и перестанет отвечать клиентам.

При этом размер сообщения атакующего должен составлять всего около 64 Кб, то есть такая атака является весьма простой и дешевой для злоумышленника, но пагубной для сервера. Исследователь отмечает, что даже рядовой домашний ПК, со скоростью аплоада 1 Мбит/с, способен отправлять два таких сообщения в секунду. То есть небольшой ботнет легко сможет вывести из строя целый дата-центр.

Уязвимость была найдена в конце февраля 2019 года, и на исправление проблемы во внутренней инфраструктуре Facebook ушло всего несколько дней, а также вскоре была представлена исправленная версия Fizz v2019.02.25.00. И хотя обычно bug bounty программа Facebook не распространяется на уязвимости, связанные с отказом в обслуживании (DoS), специалисту Semmle выплатили 10 000 долларов США в силу высокой опасности проблемы. Так как исследователь принял решение отдать деньги на благотворительность, Facebook удвоила эту сумму.