Jelent-e
biztonsági kockázatot
egy rossz teljesítményű
kód?
PfeifferSzilárd
Security Researcher & Evangelist
Mi az elmélet?
Elméleti hiba
Gyakorlati hiba
Mik a következmények?
-
Sérülékenységek
-
-
D(HE)at attack (CVE-2002-20001)
- long exponent (CVE-2022-40735)
- unnecessary check (CVE-2024-41966)
-
D(HE)at attack (CVE-2002-20001)
-
-
Széles körű érintettség
- Könyvtárak: OpenSSL, Open/Oracle JDK, ...
- Operációs rendszerek: Ubuntu, SUSE, ...
- Egyéb gyártók: Aruba, F5, HPE, ...
Mi a konklúzió?
-
Elméleti hiányosságok
- Hibás paraméterek
- Felesleges műveletek
-
Fejlesztési hiányosságok
- Rossz alapértelmezett érték
-
Tesztelési hiányosságok
- Hiányzó teljesítmény mérés
- historikus
- end-to-end
- Hiányzó teljesítmény mérés