Парсинг string в enum ценой в 50 Гб: разбираем уязвимость CVE-2020-36620

[Ainyru]

Кэшировать парсинг коротких строк это... даже не знаю с чем сравнить.
Особая одаренность нужна такого креатива.

[maledog]

Тут хотя бы нужно послать объём данных сравнимый с объёмом памяти сервера. А я видел эпичную ошибку http-сервера, где сервер резервировал оперативную память чтобы распарсить запрос на основании "Content-Length" из запроса. Таким образом, сервер ронялся легко и непринужденно с затратой минимума ресурсов атакующим.

[mentin]

Если данные передаются сжатые, то тут тоже можно обойтись очень небольшим трафиком. Скажем, несколько строк состоящих из уникального гуида и гигабайта буквы 'а', сожмутся очень хорошо.

[domix32]

термин zip-бомба неспроста появилась

[mentin]

Причем для парсинга Enum вполне можно было сделать что-то полезное, скажем использовать perfect hashing (если .net этого уже не делает) если это действительно важно по производительности. Но кеширование, особенно не найденных строк, это запредельный креатив.

[shai_hulud]

Зачем там кеш, если набор имён для Enum известен, либо это число, которое кешировать дороже чем парсить.

Для Flags всё равно надо делать парсинг.

[CrazyElf]

Поэтому в питоне к примеру обычно используют lru_cache, с ограничением на размер, а просто кэш - это потенциальный бесконечный пожиратель памяти. В целом весёлый случай, да.

[Revertis]

Я вот тоже подумал, что если уж кэшируем, то хотя бы указываем размер кэша.

[buldo]

Не думал, что можно зарегать CVE для какой-то маленькой непонятной библиотеки.

И зачем вообще кому-то нужна эта библиотека?

[SergVasiliev]

И зачем вообще кому-то нужна эта библиотека?

200К загрузок у неё откуда-то набралось.

На самом деле меня тоже удивило отношение кол-ва загрузок пакета к кол-ву форков / звёзд проекта. Но имеем, что имеем.

[Volokhovskii]

И зачем вообще кому-то нужна эта библиотека?

Напоминаю, что в этом мире существует left-pad :)