一名安全研究人员发现脸书Fizz开源TLS函数库项目存在重大拒绝服务(Denial of Service, DoS)漏洞。脸书获得通报后也例外颁发1万美元的漏洞挖掘奖金。
Facebook Fizz是脸书2018年将其内部使用的传输层安全性TLS 1.3协议函数库Fizz开源出来的项目,颇受到开发人员欢迎。脸书自称,超过50%的网页流量以TLS 1.3确保安全。
安全厂商Semmle研究人员Kevin Backhouse今年2月利用“污点分析”(taint analysis)方法,以QL在该项目中发现编号为CVE-2019-3560的整数溢出漏洞,位于一段16-bit的未签章程序代码中。研究人员发现该漏洞可被远程黑客轻易开采,发动DoS攻击造成Fizz无限循环,导致依赖Fizz的任何基础架构挂掉。这项漏洞因而被列为高度风险。不过基于脸书近来发生太多用户个人信息外泄案例,研究人员强调,CVE-2019-3560并不会造成用户数据遭未授权访问。
脸书于2月间接获研究人员通报后,也迅速修补了该漏洞。目前该漏洞已在Fizz 2019.02.25.00以后的版本中获得修复。
脸书的漏洞挖掘奖励方案一般并未涵盖DoS漏洞,但基于本重大安全漏洞的发现,脸书也破例颁发奖金10,000美元给这名研究人员。