【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Hyper 存在漏洞,Rust 项目易受拒绝服务攻击

  • 2023-01-10
    北京
  • 本文字数:757 字

    阅读完需:约 2 分钟

Hyper 存在漏洞,Rust 项目易受拒绝服务攻击

近日,安全研究人员最近发现并披露了流行的 Rust 项目(例如AxumSalvoconduit-hyper )中的多个漏洞,产生这些漏洞的根源是没有在使用 Hyper 库时对 HTTP 请求设置适当的限制。

 

Hyper是一个非常流行的低级 HTTP 库,用 Rust 编写。该库不是功能齐全的 HTTP 服务器或客户端,但它包含了用于响应请求、解析请求主体和生成正确 HTTP 响应的方法,因此可以用作实现这些功能的“构建块”,是 Rust 最流行的 HTTP 库之一。

 

安全公司 JFrog 发现,包含Hyper的项目(如 AxumSalvo conduit-hyper)容易受到为利用这些漏洞而精心设计的 HTTP 请求引起的拒绝服务 (DoS) 攻击。

 

研究人员发现的问题在于body::to_bytes,这是一个将请求或响应主体复制到单个字节缓冲区的函数。该函数读取数据块,并可以创建一个具有足够空间的 Vector 来满足请求正文的预期长度。但是 Vector 的大小来自直接传递给 Rust 内存分配器的“Content-Length”标头,因此如果它太大,分配器就会崩溃进而使进程崩溃。

 

据 JFrog 称,上面三个项目已经修复了他们的代码,但还有数量不详的、其他易受攻击的项目尚未做出回应。目前,Rust 的包存储库 crates.io 中列出的 2,579 个项目依赖于 Hyper,下载量已超过 6700 万次。

 

JFrog 安全研究高级主管 Shachar Menashe 表示:使用 Hyper 时缺乏大小限制是一个非常严重的问题,攻击者可以很容易地利用它让 HTTP 客户端和服务器崩溃。

 

这个问题实际上之前也出现过。在 2014 年2015 年,Hyper 的开发人员修复了因接收到过大请求标头而导致的 DoS 漏洞。去年,在 GitHub 上的相关问题的帖子中,Rust 开发人员 Michal Varner 建议采用合并警告机制。


参考链接:

https://jfrog.com/blog/watch-out-for-dos-when-using-rusts-popular-hyper-package/

https://www.theregister.com/2023/01/06/flaws_rust_projects_ddos/

2023-01-10 10:393794

评论

发布
暂无评论
发现更多内容

嵌入式ARM设计编程(一) 简单数据搬移

timerring

arm

Sentinel 是如何实现分布式限流的?

做梦都在改BUG

sentinel 分布式限流

只用了半个Redisson的Semaphore实现并发控制

做梦都在改BUG

Java 并发控制 Semaphore redisson

如何快速实现多指标计算

jiangxl

安擎董事长俞跃渊:打造智能算力,创新产业价值

科技热闻

IoTLink 版本更新 v1.5.2

山东云则信息科技

物联网

TDengine 3.0.2.5 查询再优化!揭秘索引文件的工作原理

TDengine

数据库 tdengine 时序数据库

宋红康2023版Java视频发布

小谷哥

Java培训有哪些不同的学习方法

小谷哥

大数据培训学习选择哪个机构好

小谷哥

新年伊始,谈谈开源软件供应链安全的新趋势

安势信息

开源软件 清源CleanSource SCA 安势信息 ChatGPT 开源软件供应链安全

Cloud Kernel SIG月度动态:发布ANCK 5.10-013版本、完整支持Intel SPR处理器

OpenAnolis小助手

开源 版本 内核 龙蜥社区 sig

fabric.js开发图片编辑器的细节实现

秦少卫

架构 编辑器 Fabric.js 前端编辑器

软件测试/测试开发 | Web 控件定位与常见操作

测试人

软件测试 自动化测试 测试开发 Web自动化测试

模块6如何设计微服务架构

程序员小张

云小课|使用SpringBoot快速构建FunctionGraph HTTP函数

华为云开发者联盟

开发 HTTP 华为云 企业号 2 月 PK 榜 华为云开发者联盟

特定领域知识图谱融合方案:学以致用-问题匹配鲁棒性评测比赛验证【四】

汀丶人工智能

自然语言处理 知识图谱 2月月更 2月日更 实体对齐

前端培训学习方法有哪些

小谷哥

秒云加入金兰组织,携手共建信创新生态

MIAOYUN

信创 信创云 信创产业 金兰组织

详解Redisson分布式限流的实现原理

华为云开发者联盟

后端 开发 华为云 企业号 2 月 PK 榜 华为云开发者联盟

大咖说·图书分享|狼书(卷3):Node.js高级技术

大咖说

node.js 阿里云 开发者

安势信息入选 SegmentFault思否「2022 中国新锐技术先锋企业」

安势信息

软件成分分析 清源CleanSource SCA 安势信息 技术先锋 SegmentFault

MRS+LakeFormation:打造一站式湖仓,释放数据价值

华为云开发者联盟

大数据 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

大数据培训零基础的方法有哪些

小谷哥

面试官:谈谈你对JVM内存结构的理解

做梦都在改BUG

Java JVM

特定领域知识图谱融合方案:文本匹配算法之预训练Simbert、ERNIE-Gram单塔模型等诸多模型【三】

汀丶人工智能

人工智能 自然语言处理 知识图谱 2月月更 2月日更

由浅入深,聊聊OkHttp的那些事(很长,很细节)

Petterp

android okhttp

实战分享,电路板设计后这样干,一个人也能轻松搞定项目!

华秋PCB

PCB PCB打样 PCB设计

再获权威认证!秒云顺利通过ISO20000、27001双系统认证

MIAOYUN

ISO9001 ISO20000 ISO27001

软件测试/测试开发 | web 控件的交互进阶

测试人

软件测试 自动化测试 测试开发 Web自动化测试

关于使用消息队列今天被面试官问倒了

做梦都在改BUG

Hyper 存在漏洞,Rust 项目易受拒绝服务攻击_文化 & 方法_褚杏娟_InfoQ精选文章