Tagata suʻesuʻe mai le Iunivesite o Boston auala osofa'i
(CVE-2019-11728) su'esu'e tuatusi IP ma tatala uafu feso'ota'iga i luga ole feso'ota'iga i totonu ole tagata fa'aoga, puipui mai le feso'ota'iga i fafo e se pa puipui, po'o luga ole faiga o iai nei (localhost). O le osofaʻiga e mafai ona faʻatinoina pe a tatalaina se itulau faʻapitoa faʻatulagaina i totonu o le masini. O le metotia faʻatulagaina e faʻavae i luga o le faʻaogaina o se ulutala HTTP (HTTP Su'i Auaunaga, ). O le faʻafitauli e tupu i Firefox, Chrome ma suʻesuʻega e faʻavae i luga o latou afi, e aofia ai Tor Browser ma Brave.
O le ulutala Alt-Svc e mafai ai e le 'auʻaunaga ona fuafua se isi auala e maua ai le saite ma faʻatonu le suʻega e toe faʻafeiloaʻi le talosaga i se talimalo fou, mo se faʻataʻitaʻiga mo le paleni o uta. E mafai fo'i ona fa'amaoti le uafu feso'ota'iga mo le tu'uina atu, mo se fa'ata'ita'iga, fa'amaoti 'Alt-Svc: http/1.1="other.example.com:443";ma=200' fa'atonu le kalani e fa'afeso'ota'i i le talimalo isi.example .org e maua ai le itulau o lo'o talosagaina i le fa'aogaina o feso'ota'iga port 443 ma HTTP/1.1 protocol. O le "ma" fa'amaufa'ailoga o lo'o fa'amaoti mai ai le maualuga o le fa'asologa o le umi. E le gata i le HTTP/1.1, HTTP/2-over-TLS (h2), HTTP/2-over text plain (h2c), SPDY(spdy) ma le QUIC (quic) fa'aaoga UDP o lo'o lagolagoina e fai ma fa'asalalauga.
Ina ia suʻesuʻeina tuatusi, e mafai e le tagata osofaʻi ona suʻesuʻe faʻasolosolo i totonu o tuatusi fesoʻotaʻiga i totonu ma fesoʻotaʻiga uafu o tului, e faʻaaoga ai le tuai i le va o talosaga faifaipea e fai ma faʻailoga.
Afai e le maua le punaoa toe fa'afeiloa'i, e vave ona maua e le su'esu'e se pusa RST i le tali ma fa'ailoga loa le isi auaunaga e le o avanoa ma toe fa'afo'i le olaga toe fa'atonuina i le talosaga.
Afai e tatala le uafu fesoʻotaʻiga, o le a umi se taimi e faʻamaeʻa ai le fesoʻotaʻiga (o le a faia se taumafaiga e faʻavae se fesoʻotaʻiga ma le fefaʻatauaʻiga o pusa tutusa) ma o le a le tali vave le browser.
Ina ia maua faʻamatalaga e uiga i le faʻamaoniga, e mafai e le tagata osofaʻi ona toe faʻafeiloaʻi vave le tagata faʻaoga i se itulau lona lua, lea i le ulutala Alt-Svc o le a faʻasino i le taʻavale a le tagata osofaʻi. Afai e tu'uina atu e le tagata su'esu'e se talosaga i lenei itulau, e mafai ona tatou manatu o le Alt-Svc talosaga redirection muamua ua toe setiina ma ua le avanoa le talimalo ma le taulaga o lo'o su'eina. Afai e le maua le talosaga, o faʻamatalaga e uiga i le toe faʻafeiloaʻiga muamua e leʻi maeʻa ma ua faʻamautuina le fesoʻotaʻiga.
O lenei metotia e mafai ai foi ona e siaki pusa fesoʻotaʻiga o loʻo faʻauliuligia e le browser, e pei o pusa meli. O se osofaʻiga galue na saunia e faʻaaoga ai le sui o le iframe i le feoaiga a le tagata manua ma le faʻaogaina o le HTTP / 2 protocol i Alt-Svc mo Firefox ma QUIC e faʻataʻitaʻi ai pusa UDP i Chrome. I totonu o le Tor Browser, e le mafai ona faʻaogaina le osofaʻiga i totonu o le fesoʻotaʻiga i totonu ma le localhost, ae e talafeagai mo le faʻatulagaina o suʻesuʻega faalilolilo o 'au i fafo e ala i le Tor exit node. Fa'afitauli ile su'ega uafu ua uma i le Firefox 68.
E mafai foi ona fa'aoga le ulutala Alt-Svc:
- Pe a faʻatulagaina osofaʻiga DDoS. Mo se faʻataʻitaʻiga, mo le TLS, o le toe faʻafeiloaʻi e mafai ona maua ai le maualuga o le 60 taimi talu mai le talosaga muamua a le tagata o tausia e 500 paita, o le tali ma se tusi faamaonia e tusa ma le 30 KB. E ala i le fa'atupuina o talosaga fa'apena i totonu o se matasele i luga o le tele o faiga fa'atau, e mafai ona e fa'auma le fa'aogaina o feso'ota'iga o lo'o avanoa ile server;
- Ia fa'aaloa'ese faiga fa'aanti-phishing ma anti-malware o lo'o tu'uina mai e au'aunaga e pei ole Safe Browsing (le toe fa'afo'i atu i se 'au leaga e le maua ai se lapataiga);
- Ia fa'atulaga le su'esu'eina o fegaiga a tagata fa'aoga. O le ute o le auala o le suitulaga lea o se iframe o loʻo faʻasino i le Alt-Svc se faʻataʻitaʻiga faʻataʻitaʻiga i fafo, lea e taʻua e tusa lava po o le a le faʻaofiina o meafaigaluega anti-tracker. E mafai foi ona siaki i le tulaga o loʻo tuʻuina atu e ala i le faʻaogaina o se faʻamatalaga tulaga ese i Alt-Svc (faʻafuaseʻi IP: taulaga e pei o se faʻamatalaga) faʻatasi ai ma ana suʻesuʻega mulimuli ane i femalagaiga;
- Ina ia toe maua mai faamatalaga tala'aga o gaioiga. E ala i le faʻaofiina o ata mai se nofoaga tuʻufaʻatasia e faʻaaogaina Alt-Svc i totonu o lona itulau iframe ma se talosaga ma auʻiliʻili le tulaga o Alt-Svc i fefaʻatauaiga, o se tagata osofaʻi o loʻo i ai le tomai e faʻavasegaina felauaiga feʻaveaʻi e mafai ona faʻamaonia e faapea o le tagata faʻaoga na asiasi muamua i le mea ua faʻamaonia. nofoaga;
- Ogalaau pisapisao o faiga e su'e ai fa'alavelave. E ala i le Alt-Svc, e mafai ona e faʻatupuina se galu o talosaga i faiga leaga e fai ma sui o le tagata faʻaoga ma fatuina foliga o osofaʻiga sese e nana ai faʻamatalaga e uiga i se osofaʻiga moni i le voluma lautele.
puna: opennet.ru