当前位置:主页 > 数据安全 >

ddos高防_免备案高防主机_快速解决

时间:2021-06-12 03:34来源:E度网络 作者:E度网络 点击:

ddos高防_免备案高防主机_快速解决

LZ4有20年历史的缺陷,其影响仍有待推测。这个故事的寓意不是。我想我们都同意这不是很关键。1996年你在干什么?你还记得96年吧?杰里·麦奎尔、独立日和法戈都在电影院里。每个人都在跳"马卡雷纳"?在科技界,1996年也是一个大年份。在其他一些不太引人注目的发展中:两个名不见经传的研究生拉里·佩奇和谢尔盖·布林介绍了一种叫做"Backrub"的新型搜索引擎。在其他地方,一位名叫Markus F.X.J.Oberhumer的软件工程师发布了一种名为LZO的新颖压缩算法。LZO是用ANSI C编写的,它提供了作者所说的"相当快的压缩和非常快的解压"。LZO特别擅长压缩和解压缩原始图像数据,如照片和视频。很快,人们找到了去LZO的路并使用了它。今天,基于LZO的LZ4是Linux内核的核心组件,在三星的Android移动设备操作系统上实现。它也是ZFS文件系统的一部分,下列哪些方法防御ddos,而ZFS文件系统又与FreeBSD等开源平台捆绑在一起。但LZ4的真正作用还需要推测。这是一个问题,因为早在1996年,Oberhumer先生设法漏掉了LZ4源代码中一个非常直接但严重的整数溢出漏洞。正如Kelly Jackson Higgins在Dark Reading的描述,该漏洞可能允许远程攻击者对易受攻击的设备或触发器执行拒绝服务攻击该漏洞允许远程攻击者对易受攻击的设备执行拒绝服务攻击,或在这些设备上触发远程代码执行在这些设备上执行远程代码-在设备上运行自己的(恶意)代码。整数溢出错误是在LZ4的代码审核期间发现的。二十年后,这个简单的错误导致了很多心痛…呃…心痛,因为开源平台、嵌入式设备制造商和LZ4的其他下游消费者发现自己暴露在外。最近几天,Linux内核和受影响的开源媒体库都发布了整数溢出漏洞的补丁。但令人担忧的是,并非所有使用LZ4的人都意识到自己暴露在缺陷中。贝利推测,一些关键的操作系统——包括汽车甚至飞机上使用的嵌入式设备——可能会受到攻击。我们真的不知道。然而,与安全行业的常见情况一样,人们对安全漏洞的严重性存在一些分歧,并对贝利先生公开其调查结果的决定大发雷霆。安全研究员yanncollett(cyanncollett,Cyan4973)在他的博客中对LZ4的真正影响提出了严重的问题。虽然总体上支持修补漏洞的决定(并建议对暴露在其中的人进行修补),但科莱特先生认为,LZ4漏洞相当有限。具体来说:Collett指出,要触发该漏洞,攻击者需要创建一个特殊的压缩块来溢出32位地址空间。要做到这一点,恶意压缩块需要有16MB的数据。从理论上讲,这是可能的,但不现实。Legacy LZ4将文件格式限制为8MB块—最大。"任何大于这个值的值都会停止解码过程,"他写道,8MB不足以引发问题。更新的流媒体格式更为严格,硬限制为4MB。"因此,不可能使用记录在案的LZ4文件/流格式利用该漏洞。科莱特说,家庭ddos防御,LZ4不是OpenSSL。作为对Collett和其他人的回应,Bailey对LZ4漏洞进行了更详细的分析,发现攻击者实际上不会受到8MB或4mb限制。而且,根据LZ4运行的平台的不同,可能存在各种各样的缓解因素,Bailey总结道,漏洞攻击可能针对LZ4的当前实现编写,小于4MB的块可能是恶意的。虽然一些现代平台可能具有降低风险的功能,但"这是攻击者在拥有相应的内存信息披露(read)来暴露内存中的地址时所寻找的关键性任意写错误。"虽然LZ4漏洞辩论已经成为安全行业"内幕棒球"的一个例子,如何配置ddos防御,但(幸运的是)这里有一个大家都能同意的更大的事实。一个更大的事实是,我们都比过去更加依赖软件。而且,香港cc防御服务器,随着这种依赖性越来越强,我们环境中软件驱动设备之间的交互变得更加复杂,我们对软件组成的理解也变得越来越松散。Veracode以前也写过这方面的文章,涉及OpenSSL和其他相关主题。可能是LZ4漏洞更难被利用,ddos云防御便宜,我们被引导相信。但是,当对Linux内核的一个元素进行一次偶然的审计,发现了一个有20年历史的、可远程利用的漏洞时,没有人应该对此感到太过欣慰。这个发现应该会让你想知道还有什么东西没被注意到。这是个可怕的问题。

推荐文章
最近更新