Иногда одна маленькая утечка памяти в паре незначительных модулей, может привести к очень и очень печальным последствиям.
Такое, например, недавно произошло с CloudFlare - из-за ошибки в реализации парсера, используемого для HTTP Rewrite и Server-Side Excludes в течении последних нескольких месяцев возможны были редкие утечки кусков памяти веб-сервра, которые содержали например HTTP заголовки ответов от других клиентов. Проблему уже успели окрестить CloudBleed.
Подробности в блоге самих CloudFlare: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
#security #bugs #cloudflare #cloudbleed
Такое, например, недавно произошло с CloudFlare - из-за ошибки в реализации парсера, используемого для HTTP Rewrite и Server-Side Excludes в течении последних нескольких месяцев возможны были редкие утечки кусков памяти веб-сервра, которые содержали например HTTP заголовки ответов от других клиентов. Проблему уже успели окрестить CloudBleed.
Подробности в блоге самих CloudFlare: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
#security #bugs #cloudflare #cloudbleed
The Cloudflare Blog
Incident report on memory leak caused by Cloudflare parser bug
Last Friday, Tavis Ormandy from Google’s Project Zero contacted Cloudflare to report a security problem with our edge servers. He was seeing corrupted web pages being returned by some HTTP requests run through Cloudflare.
Если вы еще не слышали про коллизию sha-1: Google и национальный институт исследований математики и компьютерных наук в Нидерландах (CWI) научились делать взаимные правки двух произвольных файлов так, чтобы в резульате их SHA1 сумма совпадала. Исследования заняли два года.
Что это значит для всех нас? Пора уже закопать стюардессу и перейти хотя бы на SHA-256 или SHA-3.
Подробности в блоге: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
#google #sha1 #security
Что это значит для всех нас? Пора уже закопать стюардессу и перейти хотя бы на SHA-256 или SHA-3.
Подробности в блоге: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
#google #sha1 #security
Google Online Security Blog
Announcing the first SHA1 collision
Posted by Marc Stevens (CWI Amsterdam), Elie Bursztein (Google), Pierre Karpman (CWI Amsterdam), Ange Albertini (Google), Yarik Markov (Goog...
Cloudflare опубликовал предварительный отчет о влиянии случившегося Cloudbleed на приватные данные пользователей.
Подробности в официальном блоге: https://blog.cloudflare.com/quantifying-the-impact-of-cloudbleed/
#cloudflare #cloudbleed #security
Подробности в официальном блоге: https://blog.cloudflare.com/quantifying-the-impact-of-cloudbleed/
#cloudflare #cloudbleed #security
DataDog померяли влияние заплаток от Spectre и Meltdown на своем Redis кластере (в нем миллионы ядер) и опубликовали по этому поводу небольшую статью с графиками: https://www.datadoghq.com/blog/meltdown-spectre-cpu/
#datadog #meltdown #spectre #performance #impact #security
#datadog #meltdown #spectre #performance #impact #security
The Meltdown/Spectre saga: Measuring the impact on millions of cores
The Meltdown/Spectre saga: Measuring the impact on millions of cores | Datadog
Data from millions of cores monitored by Datadog shows widespread impacts of the security patches.
Для тех, кто считает что от всевозможных Spectre и Meltdown не нужно защищаться - исследователи из Graz University of Technology опубликовали пару страниц счастья с Proof Of Concept *remote* атакой на уязвимые к Spectre системы. Атака позволяет читать произвольные участки памяти, но к счастью, скорость чтения памяти очень низкая (единицы байт в час).
Подробности: https://misc0110.net/web/files/netspectre.pdf
#spectre #security #brokenbydesign
Подробности: https://misc0110.net/web/files/netspectre.pdf
#spectre #security #brokenbydesign