Golang TLS双向身份认证DoS漏洞分析(CVE

  • 时间:
  • 浏览:0

为了保护正常服务,大伙儿应立即升级到G0 v1.10.6、v1.11.3将会更新版本。

Go的标准库原生支持SSL/TLS认证,也支持小量与连接防止、验证、身份认证等

一、前言

将会线程运行源代码使用Go语言编写,我应该 用到了单向将会双向TLS认证,没人就容易受到CPU拒绝服务(DoS)攻击。Go语言的crypto/x2009标准库中的校验算法所处逻辑不足英文,攻击者后能 精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。

二、研究背景

42Crunch的API Security平台后端采用的是微服务架构,而微服务使用Go语言编写。微服务之间通过gRPC相互通信,我应该 部署了REST API网关用于内外部调用。为了确保安全性,大伙儿遵循了“TLS everywhere”(处处部署TLS)原则,广泛采用了TLS双向认证机制。