Jelent-e
biztonsági kockázatot
egy rossz teljesítményű
kód?

 PfeifferSzilárd

Security Researcher & Evangelist

Mi az elmélet?

Elméleti hiba

Gyakorlati hiba

Mik a következmények?

  • Sérülékenységek
      • D(HE)at attack (CVE-2002-20001)
        • long exponent (CVE-2022-40735)
        • unnecessary check (CVE-2024-41966)
  • Széles körű érintettség
    • Könyvtárak: OpenSSL, Open/Oracle JDK, ...
    • Operációs rendszerek: Ubuntu, SUSE, ...
    • Egyéb gyártók: Aruba, F5, HPE, ...

Mi a konklúzió?

  • Elméleti hiányosságok
    • Hibás paraméterek
    • Felesleges műveletek
  • Fejlesztési hiányosságok
    • Rossz alapértelmezett érték
  • Tesztelési hiányosságok
    • Hiányzó teljesítmény mérés
      • historikus
      • end-to-end

Jelent-e biztonsági kockázatot egy rossz teljesítményű kód?

By Szilárd Pfeiffer

Jelent-e biztonsági kockázatot egy rossz teljesítményű kód?

  • 52