Kutubxona xavfsizligini tekshirish natijalarini kuchaytirish

Ochiq kodli loyihalar xavfsizligini mustahkamlash uchun yaratilgan OSTIF (Ochiq kodli texnologiyalarni takomillashtirish jamg'armasi) ko'plab C++ loyihalarida foydalaniladigan Boost kutubxonalarining xavfsizlik auditi natijalarini e'lon qildi. OSTIF va Amazon Web Services tomonidan Italiyaning Shielder kompaniyasi tomonidan o'tkazilgan audit 7 ta muammoni aniqladi, ulardan bittasi o'rtacha xavf darajasiga ega va to'rttasi past darajadagi xavf darajasiga ega, ikkita muammo shaklda nashr etilgan. ma'lumot eslatmalari.

Audit davomida o'rganilgan kutubxonalar:

  • Boost.Beast
  • Boost.DLL
  • Boost.Date_Time
  • Boost.Filesystem
  • Boost.GIL
  • Boost.Graph
  • Boost.JSON
  • Boost.Program_Options
  • Boost.Regex
  • Boost.String_Algo
  • Boost.URL
  • Boost.UUID

Aniqlangan muammolar:

  • Boost.Beast-dagi zaiflik, bu HTTP sarlavhalarida vagonni qaytarish va qator tasmasi (CRLF) almashtirishga imkon beradi (sarlavhalarni ajratish uchun ishlatilishi mumkin). Muammo o'rtacha jiddiylik darajasiga ega.
  • Muntazam ifodadagi bir nechta end_line elementlarida rekursiv operatsiyalarni bajarishda Boost.Regex kutubxonasida stekning to'lib ketishi.
  • Bir nechta suratga olish va qo'shilish guruhlarida rekursiv operatsiyalarni bajarishda Boost.Regex kutubxonasida stekning to'lib ketishi.
  • Format satrida bir nechta ochiq qavslar ustida rekursiv operatsiyalarni bajarishda Boost.Regex kutubxonasida stekning to'lib ketishi.
  • Bir nechta ichki o'rnatilgan grafiklarda rekursiv operatsiyalarni bajarishda Boost.Graph kutubxonasida stekning to'lib ketishi.
  • Boost.Graph kutubxonasidagi wideth_first_search funksiyasida ishga tushirishni tasdiqlang.
  • Boost.DLL-da ushlanmagan istisnolar.

Auditdan olingan ma'lumotlarga asoslanib, Boost ishlab chiqish guruhi allaqachon 4 ta muammoni hal qildi va fuzz testi paytida kod va funksionallikni qamrab olishni yaxshilash uchun 15 ta yaxshilanishni amalga oshirdi. Boost.Beast-da sarlavhani bo'lish muammosi hali tuzatilgani yo'q va axborot tavsiyalari inobatga olinmagan.

Manba: opennet.ru

DDoS himoyasi, VPS VDS serverlari bo'lgan saytlar uchun ishonchli hosting sotib oling πŸ”₯ DDoS himoyasi, VPS VDS serverlari bilan ishonchli veb-sayt xostingini sotib oling | ProHoster