Redian新闻
>
Hyper 存在漏洞,Rust 项目易受拒绝服务攻击

Hyper 存在漏洞,Rust 项目易受拒绝服务攻击

公众号新闻

作者 | 褚杏娟

Hyper 存在漏洞,Rust 项目易受拒绝服务攻击近日,安全研究人员最近发现并披露了流行的 Rust 项目(例如 Axum、Salvo 和 conduit-hyper )中的多个漏洞,产生这些漏洞的根源是没有在使用 Hyper 库时对 HTTP 请求设置适当的限制。

Hyper 是一个非常流行的低级 HTTP 库,用 Rust 编写。该库不是功能齐全的 HTTP 服务器或客户端,但它包含了用于响应请求、解析请求主体和生成正确 HTTP 响应的方法,因此可以用作实现这些功能的“构建块”,是 Rust 最流行的 HTTP 库之一。

安全公司 JFrog 发现,包含 Hyper 的项目(如 Axum、Salvo 和 conduit-hyper)容易受到为利用这些漏洞而精心设计的 HTTP 请求引起的拒绝服务 (DoS) 攻击。

研究人员发现的问题在于 body::to_bytes,这是一个将请求或响应主体复制到单个字节缓冲区的函数。该函数读取数据块,并可以创建一个具有足够空间的 Vector 来满足请求正文的预期长度。但是 Vector 的大小来自直接传递给 Rust 内存分配器的“Content-Length”标头,因此如果它太大,分配器就会崩溃进而使进程崩溃。

据 JFrog 称,上面三个项目已经修复了他们的代码,但还有数量不详的、其他易受攻击的项目尚未做出回应。目前,Rust 的包存储库 crates.io 中列出的 2,579 个项目依赖于 Hyper,下载量已超过 6700 万次。

JFrog 安全研究高级主管 Shachar Menashe 表示:使用 Hyper 时缺乏大小限制是一个非常严重的问题,攻击者可以很容易地利用它让 HTTP 客户端和服务器崩溃。

这个问题实际上之前也出现过。在 2014 年和 2015 年,Hyper 的开发人员修复了因接收到过大请求标头而导致的 DoS 漏洞。去年,在 GitHub 上的相关问题的帖子中,Rust 开发人员 Michal Varner 建议采用合并警告机制。

参考链接:

https://jfrog.com/blog/watch-out-for-dos-when-using-rusts-popular-hyper-package/

https://www.theregister.com/2023/01/06/flaws_rust_projects_ddos/

文章版权归极客邦科技 InfoQ 所有,未经许可不得转载。


你也「在看」吗? 👇

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Rust 语言年度回顾:全球企业如何采用 Rust的?中了$20.4亿!美国夫妇破解彩票漏洞,这回发了!小伙意外发现ATM机取钱漏洞,成百万富翁!5个月后,他受不了了...本周必buy | Hype DC大促3折+,数十种运动潮牌低至$14.99起,​Platypus Shoes潮鞋5折+Meilisearch 1.0稳定版发布,Rust高性能开源搜索引擎来延安的侨领德国医生日本护士从四通公司到四通桥,时代反转——读万润南的《商海云帆》美股SPAC|HyperloopTT将通过与 SPAC合并成为首家专注于超回路列车的上市公司硬核观察 #932 走出混乱,Rust 项目公布新的治理结构谷歌:Android 内存安全漏洞比例下降与使用 Rust 相关21岁大学生体力太好,48岁女子拒绝服务深入剖析SVC HyperSwap双数据中心华人注意!加拿大e-transfer收钱有大漏洞,女子卖二手工具损失$480!In China, Copycats are Trying to Cash in on ChatGPT Hype发现这个漏洞,疯狂取现398万!银行女员工立即整容,潜逃25年后落网!在他乡成功创业平实心态看世界以调试 Rust 的方式来学习 Rust | Linux 中国[电脑] The Grand Beyond The Grand —— 华硕ROG HYPERION创世神 装机SHOW!一年303个漏洞,Chrome被评为“最脆弱”浏览器,Opera 最安全!吕一平:90%的安全漏洞,都可被扼杀在研发阶段生于未来的Hyperpop,正在自我背弃英国被难民塞爆,有人趁机钻漏洞,做难民生意,年赚上亿华裔学生与美国夫妇争相破解彩票漏洞,狂赚千万美金【Hypertension】深度学习 | 收缩压和心血管风险之间是单一线性关系小伙意外发现ATM取钱漏洞,成百万富翁!5个月后他崩溃了远方硬核观察 #876 数千用 Rust 开发的项目面临拒绝服务攻击暴躁存在子宫,郁闷存在乳房,委屈存在胃里......情绪的100种攻击方法周末愉快 拼多多China’s Booming New Toy Market: Hyperrealistic ‘Military Lego’谷歌:使用 Rust 后,安卓系统的内存安全漏洞数量大幅下降拒绝服兵役,后果很严重!AA 和 Hyatt 合作:互相积分、Status Match等 【双方会籍 Fast Track Offer】硬核观察 #838 安卓的 Rust 代码中发现的内存安全漏洞为零Meta、CMU联手推出VR史诗级升级!最新HyperReel模型实现高保真6自由度视频渲染
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。