1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › CPDoS-Angriff: Cache-Angriffe können…

Vielen Dank für die Berichterstattung!

  1. Thema

Neues Thema Ansicht wechseln


  1. Vielen Dank für die Berichterstattung!

    Autor: Megamorf 23.10.19 - 14:03

    Da waren schon ein paar Interessante Schmankerl drin:

    Zitat:
    IKEA uses CloudFront in conjunction with S3 to distribute remote control firmware and driver updates for their wireless bulbs. As CloudFront in combination with S3 is vulnerable to HHO CPDoS attacks, an attacker can block the remote control devices of IKEA from fetching security patches.

    Zitat:
    Amazon Web Services (AWS). We reported this issue to the AWSSecurity team. They confirmed the vulnerabilities on CloudFront. The AWS-Security team stopped caching error pages with the status code 400 Bad Request by default. However, they took over three months to fix our CPDoS reportings. Unfortunately, the overall disclosure process was characterized by a one-way communication. We periodically asked for the current state, without getting much information back from the AWS-Security team. They never contacted us to keep us up to date with the current processs. For example, we only got noticed about the changed default caching policy by checking back the revision history of their respective documentation hosted in Github. Thus, we do not have much information on the noticeable amount of time required to resolve our reported CPDoS vulnerability, although having asked for it explicitly. We can only assume that this delay has to do with the large number of affected users they had to test after implementing according countermeasures.

  2. Re: Vielen Dank für die Berichterstattung!

    Autor: bofhl 23.10.19 - 16:15

    Megamorf schrieb:
    --------------------------------------------------------------------------------
    > Da waren schon ein paar Interessante Schmankerl drin:
    >
    > ..
    > Zitat:
    > Amazon Web Services (AWS). We reported this issue to the AWSSecurity team.
    > They confirmed the vulnerabilities on CloudFront. The AWS-Security team
    > stopped caching error pages with the status code 400 Bad Request by
    > default. However, they took over three months to fix our CPDoS reportings.
    > Unfortunately, the overall disclosure process was characterized by a
    > one-way communication. We periodically asked for the current state, without
    > getting much information back from the AWS-Security team. They never
    > contacted us to keep us up to date with the current processs. For example,
    > we only got noticed about the changed default caching policy by checking
    > back the revision history of their respective documentation hosted in
    > Github. Thus, we do not have much information on the noticeable amount of
    > time required to resolve our reported CPDoS vulnerability, although having
    > asked for it explicitly. We can only assume that this delay has to do with
    > the large number of affected users they had to test after implementing
    > according countermeasures.

    Warum sollte das AWS-Team auf die Forscher-Bitten reagieren oder gar von sich aus irgendeine Info weitergeben? Nicht zu reagieren ist derzeit das Standardverhalten bei sehr vielen -vor allem US- Firmen! Weder bei Facebook, noch Google, noch bei den meisten Firmen, egal ob Soft- oder Hardware, werden außer Standard-Antworten/Reaktionen zurück kommen. Oft ist nicht mal eine Kontakt-Adresse, Telefonnummer oder eMail-Adresse vorhanden - das höchste ist ein Webseite, über die an eine nebulöse Stelle eine Meldung abgesetzt werden kann. Reagiert wird dann wie gesagt nahezu immer mit einem "Automaten-Text" - weitere Reaktion Fehlanzeige!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. STWB Stadtwerke Bamberg GmbH, Bamberg
  2. DATAGROUP Köln GmbH, Köln
  3. Allianz Deutschland AG, München Unterföhring
  4. SCHOTT AG, Mainz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

  1. Datenschmuggel: US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
    Datenschmuggel
    US-Gericht schränkt Durchsuchungen elektronischer Geräte ein

    US-Grenzbeamte dürfen nicht mehr so einfach die Smartphones und Laptops von Einreisenden untersuchen. Es muss ein begründeter Verdacht auf Datenschmuggel vorliegen.

  2. 19H2-Update: Microsoft veröffentlicht Windows 10 v1909
    19H2-Update
    Microsoft veröffentlicht Windows 10 v1909

    Das November-Update ist da: Bei Microsoft steht Windows 10 v1909 zum Download bereit. Laut Hersteller handelt es sich um ein Feature Update, die Installation geht schnell und die Neuerungen sind überschaubar.

  3. Sparvorwahlen: Tele2 feiert Rettung von Call-by-Call
    Sparvorwahlen
    Tele2 feiert Rettung von Call-by-Call

    Verbände und die Deutsche Telekom haben sich auf die freiwillige Weiterführung von Call-by-Call und Pre-Selection verständigt. Es gibt immer noch Nutzer dieser Sparvorwahlen.


  1. 17:23

  2. 17:00

  3. 16:45

  4. 16:30

  5. 16:12

  6. 15:30

  7. 15:15

  8. 15:00