Все, что делаешь, надо делать хорошо, даже если совершаешь безумство.

избушко, избушко, повернись ко мне лесом к заду передом ...

VPN WireGuard принят в ветку net-next и намечен для включения в ядро Linux 5.6
Mon, 09 Dec 2019 18:42:28 +0300

Началось общее голосование о системах инициализации в Debian
Sat, 07 Dec 2019 13:32:21 +0300

Самый популярный пример Java-кода на StackOverflow оказался с ошибкой
Thu, 05 Dec 2019 13:48:33 +0300

Microsoft развивает новый язык программирования на основе Rust
Tue, 03 Dec 2019 08:54:04 +0300

В KDE улучшена поддержка декорирования окон в GTK-приложениях
Mon, 02 Dec 2019 22:49:28 +0300

Введён в строй Qt Marketplace, каталог-магазин модулей и дополнений для Qt
Mon, 02 Dec 2019 16:49:05 +0300

Тенденции в аппаратном обеспечении, используемом с Linux
Mon, 02 Dec 2019 09:42:10 +0300

Прогресс в использовании ОС Redox на реальном оборудовании
Sun, 01 Dec 2019 10:56:09 +0300

Вышла новая версия Open CASCADE Technology - 7.4.0
Fri, 29 Nov 2019 16:28:49 +0300

Обновлены планы по поставке 32-разрядных библиотек в Ubuntu 20.04
Fri, 29 Nov 2019 09:37:15 +0300

В ядре Linux выявлена ошибка, приводящая к нарушению работы некоторых программ, использующих AVX
Wed, 27 Nov 2019 10:32:13 +0300

Ошибка в прошивке SSD-накопителей HPE, приводящая к потере данных через 32768 часов работы
Tue, 26 Nov 2019 17:49:06 +0300

Компания Mozilla опубликовала финансовый отчёт за 2018 год
Tue, 26 Nov 2019 10:35:08 +0300

RIPE выделил последний свободный блок IPv4
Tue, 26 Nov 2019 08:54:14 +0300

В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя
Mon, 25 Nov 2019 10:36:39 +0300

Новости OPENNET
Новости

Исследователи из Гамбургского и Кёльнского университетов

разработали новую технику атак на сети доставки контента и кэширующие прокси - CPDoS (Cache-Poisoned Denial-of-Service). Атака позволяет добиться отказа доступа к странице через отравление кэша.

Проблема связана с тем, что CDN кэшируют не только успешно выполненные запросы, но и ситуации, когда http-сервер возвращает ошибку. Как правило, при проблемах с формированием запросов сервер выдаёт ошибку 400 (Bad Request), исключение составляет только IIS, который выдаёт для слишком больших заголовков ошибку 404 (Not Found). Стандарт разрешает кэшировать только ошибки с кодами 404 (Not Found), 405 (Method Not Allowed), 410 (Gone) и 501 (Not Implemented), но некоторые CDN также кэшируют и ответы с кодом 400 (Bad Request), который зависит от отправленного запроса.

Атакующие могут вызвать на оригинальном ресурсе возврат ошибки "400 Bad Request" через отправку запроса с определённым образом оформленными HTTP-заголовками. Данные заголовки не учитываются CDN, поэтому в кэш попадёт информация о невозможности получить доступ к странице и все остальные корректные запросы пользователей до истечения таймаута могут приводить к выводу ошибки, несмотря на то что исходный сайт без проблем отдаёт содержимое.

Для принуждения HTTP-сервера к возврату ошибки предложено три варианта атаки:

  • HMO (HTTP Method Override) - атакующий может переопределить исходный метод запроса через заголовки "X-HTTP-Method-Override", "X-HTTP-Method" или "X-Method-Override", поддерживаемые некоторыми серверами, но не учитываемые в CDN. Например, можно поменять исходный метод "GET" на запрещённый на сервере метод "DELETE" или неприменимый для статики метод "POST";
  • HHO (HTTP Header Oversize) - атакующий может подобрать размер заголовка таким образом, чтобы он превышал лимит исходного сервера, но не подпадал под ограничения CDN. Например, Apache httpd ограничивает размер заголовка в 8 КБ, а CDN Amazon Cloudfront допускает заголовки до 20 КБ;
  • HMC (HTTP Meta Character) - атакующий может подставить в запрос спецсимволы (\n, \r, \a), которые считаются недопустимыми на исходном сервере, но игнорируются в CDN.

Наиболее подвержен атаке оказался CDN CloudFront, используемый в Amazon Web Services (AWS). В настоящее время компания Amazon уже устранила проблему через запрет кэширования ошибок, но на то, чтобы добиться добавления защиты, исследователям потребовалось более трёх месяцев. Проблема также затронула Cloudflare, Varnish, Akamai, CDN77 и

Fastly, но атака через них ограничена целевыми серверами, на которых используется IIS, ASP.NET, Flask и Play 1. Отмечается, что атаке потенциально могут быть подвержены 11% доменов Министерства обороны США, 16% URL из базы HTTP Archive и около 30% из 500 крупнейших сайтов по рейтингу Alexa.

В качестве обходного метода блокирования атаки на стороне сайта можно использовать выставление заголовка "Cache-Control: no-store", запрещающего кэширование ответов. В некоторых CDN, например, в

CloudFront и Akamai, можно на уровне настроек профиля отключить кэширование ошибок. Для защиты также можно использовать межсетевые экраны для web-приложений (WAF, Web Application Firewall), но они должны внедряться на стороне CDN перед хостами, осуществляющими кэширование.

9.051 70.5047 0.5871 63.7244

НОВОСТИ: Началось альфа-тестирование инсталлятора Debian 11 "Bullsey ... Thu, 05 Dec 2019 19:33:55 +0300

Началось тестирование первой альфа-версии инсталлятора следующего значительного релиза Debian - "Bullseye". Релиз ожидается примерно через полтора-два года.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome