BI1XJT Wavelog 2.1.1 及更旧版本存在 DOS 攻击向量,建议使用这些版本的公开实例尽快升级到 Wavelog 2.1.2 或更高版本。 漏洞 POC 的测试结果为,只要可以访问目标网页就可触发。对应 2C 4G 的服务器,单攻击主机可以使服务器崩溃。对于 20C 的服务器,单攻击主机可以使网页无法工作。 我已与 Wavelog 团队商定在一周后(新版本发布两周后)公开披露有关此漏洞的细节。
BI1XJT BI1XJT @ZYT 已经提交了修复 PR:https://github.com/wavelog/wavelog/pull/2433 一开始调试的时候发现保存 QSO 的时候其实是有防抖的,但是我的印象里又记得之前有过连点产生重复 QSO 的情况…… 说明 OM @BI7ALG 没少用 Wavelog 记比赛日志,这个问题实际上目前只存在在竞赛日志记录页面里。😂
BI1XJT 问题出现在数据更新相关的 API 上,这些接口没有加锁,导致多次频繁访问这些接口会导致拒绝服务。 国内的服务器因为连 lotw 和 dxcc 的下载服务器比较慢,所以 IO 阻塞会让攻击效果更严重。
BG5EQA 请教一下JTDX通联后,Gridtracker2把记录同步给wavelog,我不知道哪里的问题,频率不对都会加0.00176MHz,例如14.074就变成14.07576。导致上传时候LOTW有点小瑕疵。自己现在只能手动改了再同步LOTW,之前错了没办法了。
闽ICP备2021006864号-7
闽公网安备35020602002794号