В августе 2018 года разработчики Facebook открыли исходные коды TLS-библиотеки Fizz написанной на C++ 14 и позиционирующейся как надежная, высокоскоростная TLS-библиотека, поддерживающая все нововведения TLS 1.3 с упором на быстрое и беспроблемное развертывание.
Теперь специалист компании Semmle обнаружил в Fizz проблему CVE-2019-3560, которая позволяет потенциальному злоумышленнику (неаутентифицированному и удаленному) осуществить DoS-атаку на сервер, использующий Fizz. Через TCP атакующий может направить вредоносное сообщение серверу, из-за чего тот войдет в бесконечный цикл и перестанет отвечать клиентам.
При этом размер сообщения атакующего должен составлять всего около 64 Кб, то есть такая атака является весьма простой и дешевой для злоумышленника, но пагубной для сервера. Исследователь отмечает, что даже рядовой домашний ПК, со скоростью аплоада 1 Мбит/с, способен отправлять два таких сообщения в секунду. То есть небольшой ботнет легко сможет вывести из строя целый дата-центр.
Уязвимость была найдена в конце февраля 2019 года, и на исправление проблемы во внутренней инфраструктуре Facebook ушло всего несколько дней, а также вскоре была представлена исправленная версия Fizz v2019.02.25.00. И хотя обычно bug bounty программа Facebook не распространяется на уязвимости, связанные с отказом в обслуживании (DoS), специалисту Semmle выплатили 10 000 долларов США в силу высокой опасности проблемы. Так как исследователь принял решение отдать деньги на благотворительность, Facebook удвоила эту сумму.