DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防御_佛山bgp高防服务器_打不死

05-03 DDOS防御

cdn防御_佛山bgp高防服务器_打不死

在本月的Nexus Intelligence Insights中,我们探讨了一个有趣的重做漏洞案例,ddos防御产品介绍,该漏洞影响了流行的npm组件SheetJS,也称为"xlsx"。如果您知道此漏洞以前被认为是通过修复来修复的,可能会激起您的兴趣。SonatypeSecurity Research的亚当·卡佐拉后来发现,这并没有涵盖所有恶意案例像这样的重做发现案例说明了与开源社区的交互如何帮助保持组件和软件供应链的安全。在社区的帮助下,我们的安全研究团队会不遗余力地发现新的漏洞,并识别那些由于修复不足而引起的漏洞。当我们遇到类似这样的情况时,我们遵循负责任的披露最佳实践,并与供应商协调以帮助修复漏洞,并保护开源社区值得赞扬的是,在这个负责任的披露过程中,SheetJS背后的开发人员工作的速度和专业精神。在我们的电子邮件里发现了一个不匹配的消息。他们的参与导致了漏洞的迅速解决。重做漏洞通常发生在用于计算字符串的正则表达式没有考虑正则表达式引擎在求值期间必须采用的大量路径,高防cccdn,从而导致灾难性的回溯。在这种情况下,防御cc的公司,regex匹配引擎会消耗大量的CPU和/或内存资源。如果熟练的攻击者手工创建恶意输入,目标主机上将发生DoS情况,这完全是因为字符串匹配操作占用了大量可用资源名称/漏洞标识符:sonatype-2018-0622漏洞类型:正则表达式拒绝服务(ReDoS)组件受影响:npm:`xlsx`:[0.7.12,0.16.0)Maven Central:网址:webjars.npm:js xlsx:(,),即在撰写本文时,所有版本都易受攻击。建议对大多数最新信息进行IQ扫描。漏洞描述:SheetJS以"xlsx"、"js xlsx"的形式发布,并被其他类似的同义词所知,是一个JavaScript库,它允许您从零开始创建microsoftexcel工作簿,以及执行其他Excel任务-所有这些都是从web浏览器的便利性开始的。考虑到Excel在企业界的巨大知名度,以及web应用(比如googledocs)使用量的上升,防范SheetJS库中隐藏的最细微的安全漏洞变得至关重要。我们的专有标识符sonatype-2018-0622知道ReDoS漏洞存在于SheetJS npm组件中,以及它如何评估用户提供的输入中的XML/HTML标记。50000个字符的重复字符序列在应用程序中每个字符启动2秒的延迟。因此,攻击者可以提供足够大的Excel(XML格式)文件,导致SheetJS实例冻结或最终完全崩溃。该漏洞以前已使用不充分的修复程序进行了修复(图1)。图1。以前的安全修复程序修改"xlmlregex"的方式不充分。开发人员随后更正了他们的regex模式,以防止"灾难性回溯",免备案高防50g云防cdn,ip经常被ddos怎么防御,以此作为解决此漏洞的方法。大尺寸的excelxml文件不再会导致应用程序中的重做。图2。在版本0.16.0中进行的最终修复修改了"xlmlregex",以解决重做漏洞。补救建议:Sonatype建议升级到SheetJS版本0.16.0或更高版本,如npm下载中所示,其中包含此漏洞的修复程序。具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使其能够领先恶意意图一步。Sonatype Nexus客户在发现Sonatype-2018-0622后数小时内收到通知。他们的开发团队会自动收到关于如何补救风险的指示。如果您不是Sonatype的客户,并且想知道您的代码是否存在漏洞,可以使用Sonatype的免费Nexus漏洞扫描程序来快速查明。访问Nexus Intelligence Insights页面,深入了解类似此漏洞的其他漏洞。或订阅自动接收Nexus Intelligence Insights hot off press。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67550.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8953283访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X