Cryptographic Issues in Cloudflare's Circl FourQ Implementation (CVE-2025-8556)
В начале 2025 года исследователи обнаружили криптографические уязвимости в реализации FourQ от Cloudflare в библиотеке CIRCL. Проблемы были сообщены через HackerOne в марте и напрямую в Cloudflare после слабого ответа команды. FourQ — эллиптическая кривая с 128-битной безопасностью от Microsoft Research, работающая над расширением простого поля и подходящая для систем с ограниченными ресурсами.
Уязвимость связана с атаками на недействительные точки, когда сервер выполняет вычисления без проверки валидности точек на кривой. В протоколе ECDH это позволяет атакующему использовать точки с гладким порядком подгруппы, значительно упрощая восстановление секретного ключа. Cloudflare признала проблемы и исправила их после уведомления.
Комментарии (70)
- Пользователи обсуждают, что Cloudflare не смогли должным образом проверить и исправить уязвимость в библиотеке CIRCL, что вызывает вопросы о надёжности их кода и процессов.
- Обсуждается, что баг-баунти программы не предоставляют достаточной мотивации для исследователей, особенно если речь идёт о сложных технических проблемах, что может отпугнуть исследователей от отчитывать о найденных проблемах.
- Участники обсуждают, что компании должны быть более открыты к внешнему аудиту и тестированию, особенно для критически важных систем как криптографические библиотеки.
- Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.
- Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.
You did this with an AI and you do not understand what you're doing here 🔥 Горячее 💬 Длинная дискуссия
HackerOne — это платформа для координации программ bug bounty, где компании платят исследователям за обнаружение уязвимостей в их системах. Для полноценной работы сайта требуется включенный JavaScript в браузере, так как многие интерактивные функции, включая отправку отчетов и взаимодействие с интерфейсом, зависят от него.
Без JavaScript пользователь не сможет получить доступ к основному функционалу, включая просмотр программ, отправку отчетов об уязвимостях и управление профилем. Это стандартная практика для современных веб-приложений, обеспечивающая безопасность и удобство использования.
Комментарии (431)
- Пользователи обсуждают волну бесполезных AI-генерируемых отчетов об уязвимостях (например, для cURL), которые тратят время разработчиков.
- Высказываются опасения, что в будущем AI сможет генерировать более правдоподобные, но все же ложные доказательства концепций (PoC).
- Предлагаются решения для борьбы со спамом: платный депозит за отправку отчета, баны, фильтрация по эмодзи и другим признакам AI-текста.
- Обсуждается негативное влияние AI на качество кода, ревью и общую культуру разработки, а также возможные скрытые мотивы таких атак.
- Отмечается профессиональная реакция мейнтейнера (badger) на некорректный отчет и ссылки на соответствующие доклады Дэниела Стенберга о проблеме.