본문 바로가기
보안뉴스

2019-03-21 / 페이스북 오픈소스 피즈에서 취약점 발견, 피즈란?

by Hwan2 2019. 3. 21.
반응형



지난 달 페이스북 오픈소스인 피즈(Fizz)에 대한 취약점이 발견되었고, 이를 패치했다고 합니다.


피즈란??

?!?!?!?!


죄송합니다......





피즈란......



C++14로 만들어진 라이브러리로 모바일 앱과 부하 분산 장치(load balancer), 내부 서비스에 이미 전부 적용되어 있으며, 


하루에도 수백만 건씩 발생하는 TLS 1.3 핸드셰이크를 처리하는 기능을 가지고 있습니다.






이 라이브러리에서 발견된 취약점은 Dos 취약점으로 공격자가 악성 메시지를 TCP를 통해 피즈를 사용하는 아무 서버로 전송하게 되면, 


서버에서 무한 루프가 발생하게 됩니다. 서버는 루프를 돌리느라 바뻐서 다른 사용자의 요청에 대응할 수 없게 되는 원리입니다.


이 악성 메시지의 크기는 64Kb 정도로 매우 작습니다.




이 취약점은 Semmle이라는 외국 보안 업체의 전문가인 Kevin Backhouse가 발견했다고 합니다.


현재 많은 사용자들이 오픈소스 Fizz를 사용하고 있으며 자칫 큰 손실로 이어질 뻔 했다고 합니다.


다행히도 악용된 사례는 없었으며, 웹 서버만 마비 시킬 뿐 관리자 권한 취득같은 공격인 될 수 없다고 합니다.


패이스북은 이에 패치를 진행했으며 Kevin Backhouse에겐 1만 달러의 상금을 전달해 줬지만,


Kevin Backhouse는 이를 거절하고 기부해 달라고 요청해 페이스북은 2배인 2만달러를 다른곳에 기부했다고 합니다.





Kevin Backhouse라는 사람은 개인적으로 존경스러우며, 페이스북 또한 존경스럽습니다.


굉장히 훈훈한 결말이 아닌가 싶습니다.



반응형

댓글


스킨편집 -> html 편집에서