一、前言
如果程序源代码使用Go语言编写,并且用到了单向或者双向TLS认证,那么就容易受到CPU拒绝服务(DoS)攻击。Go语言的crypto/x509标准库中的校验算法存在逻辑缺陷,攻击者可以精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。
为了保护正常服务,大家应立即升级到G0 v1.10.6、v1.11.3或者更新版本。
二、研究背景
42Crunch的API Security平台后端采用的是微服务架构,而微服务使用Go语言编写。微服务之间通过gRPC相互通信,并且部署了REST API网关用于外部调用。为了确保安全性,我们遵循了“TLS everywhere”(处处部署TLS)原则,广泛采用了TLS双向认证机制。
Go的标准库原生支持SSL/TLS认证,也支持大量与连接处理、验证、身份认证等方面有关的x509和TLS原语。这种原生支持可以避免外部依赖,使用标准化的、经过精心维护和审核的TLS库也能降低安全风险。
因此42Crunch很有可能受此TLS漏洞影响,需要理解漏洞原理,保证42Crunch平台的安全性。
42Crunch安全团队针细致分析了该CVE,如下文所示。
三、问题描述
这个DoS问题最早由Netflixx发现,Golang在issue跟踪日志中提到:
crypto/x509包负责解析并验证X.509编码的密钥和证书,正常情况下会占用一定的资源来处理攻击者提供的证书链。
crypto/x509包并没有限制验证每个证书链时所分配的工作量,攻击者有可能构造恶意输入,导致CPU拒绝服务。Go TLS服务器在接受客户端证书或者TLS客户端在验证证书时会受此漏洞影响。
恢复出厂设置(清除数据) 方法一:清除数据 进行了此操作,只会保留电话本、短信、相册。 以下是具体的操作方法: 1、先将手机关机。 2、在关机状态下同时按电源键和音量减键8秒后进入OPPO...
一个财务造假22亿人民币的瑞幸咖啡,成了影响中概股多米诺骨牌效应的“标杆”,或许有其它因素参杂其中,但是,不能不说老美成熟的证券市场上,上市公司门槛虽低,但是违法违规的成本非常的高。 相比...
终于发现查如何恢复微信聊天记录图片-免费接单黑客QQ 芽庄是越南众多海滨城市中的一个,虽然比较僻静但是胜在风光优美,旅游资源丰富,近几年来渐渐成为国民出国游的目的地。春节马上要到了,又有一波小伙伴计...
又是一年开学季,对于广大父母来说,孩子开学可谓是“万兽归笼,普天同庆”,烦躁了一暑假的老父亲老母亲们总算得到了灵魂大解放,本想在家开开心心看个《甜蜜蜜》,结果一打开却发现1080P的高清电视连续剧,竟...
微信钱包明明是虚拟的,黑客为什么不敢攻击?微信作为现在人们生活中必不可少的软件,微信钱包也因为微信的流量成为了和支付宝平分移动支付的网络巨头,但是有很多人都不明白,明明微信钱包是虚拟的网络产品,为什么...
自学计算机网络技术,在国外“深造”黑客技术,回国组建“黑帽团队”,以广告推广为幌子,入侵数百家网站,预留后门、植入恶意脚本修改他人网站首页,妄图为赌博网站做推广牟利“发家致富”……栽了。 民警入...