就在最近,NodeJS宣布了最近由nodeJS团队修复和宣布的高影响安全漏洞问题。
此漏洞已在所有行(4.x,6.x,7.x和8.x)中立即修复,但其出现原因及其原因有点模糊
Constant Hashtable Seeds漏洞是什么,导致漏洞的原因是什么?
答案 0 :(得分:0)
HashTables实现恒定时间插入和访问的梦想。 HashTable是一组链接列表,链接列表必须很小才能使性能良好。
当攻击者使哈希表中的一个链表饱和时,会发生此攻击,导致访问时间过长,从而减慢整个节点进程。因此,拒绝服务攻击漏洞。
NodeJS通过随机化哈希函数算法来防止攻击者滥用哈希表中的一个链表,因为它们在初始化时为算法引入了随机种子。
错误是随机种子在每个节点版本中总是不变的(随机但永不改变)(因为它在编译节点代码时被初始化),其背后的原因是V8引擎拍摄了快照。初始化的上下文,并在下次启动时重用它,以加快速度。所以攻击者现在可以知道算法及其种子,允许攻击者滥用哈希表并过度分配一个链表。