LINUX.ORG.RU

Обнаружена серьезная уязвимость в LibreSSL

 ,


1

3

В выпущенной четыре дня назад библиотеке LibreSSL, которая создавалась как более простой и надежный форк OpenSSL, была выявлена серьезная уязвимость в генераторе псевдослучайных числе. Уязвимость была обнаружена Эндрю Айером (Andrew Ayer) и состоит в том что вызовы функции RAND_bytes в сочетании с использованием системного вызова fork могли генерировать одинаковые последовательности псевдослучайных данных.

Это происходит из-за недостаточной проверки факта использования вызова fork, который основывался на различии идентификатора процесса у родительского и дочернего процесса, но не учитывает что у второго поколения дочерних процессов идентификатор может совпадать с таковым у первоначально родителя. Для того чтобы избежать такого поведения в OpenSSL существует специальная функция RAND_poll, однако в LibreSSL эта функция была отключена с целью упрощения кода. Таким образом, прямая замена OpenSSL на LibreSSL может привести к изменению поведения программ, которые используют RAND_poll.
В дополнение автор сообщает о существовании схожей проблемы при использовании вызова chroot.

Разработчики LibreSSL в свою очередь признали существование проблемы, но заявили, что код, приведенный Эндрю Айером, не является показательным и не используется в реальных приложениях. К сожалению данная новость при всей ее значимости отсутствует на официальном сайте проекта LibreSSL, т.к. его разработчики в настоящее время «слишком заняты удалением лишнего кода».

Первоисточник

Сайт проекта LibreSSL

>>> Подробности

★★★★★

Проверено: fallout4all ()
Последнее исправление: fallout4all (всего исправлений: 5)
Ответ на: комментарий от prizident

полтора бздунячих инвалида прокричали «мы щас сделаем всем безопасно и хорошо»

пруфлинк — или не было!

kvap
()
Ответ на: комментарий от prizident

Я думаю, здесь-то и кроется корень твоей проблемы. Они не прокричали «всем». Они прокричали «мы сделаем безопасно». И сделали безопасно. В OpenBSD :)

anonymous
()
Ответ на: комментарий от anonymous

К тому же (я в очередной раз повторюсь), ещё не было стабильного релиза. А значит рано судить о каких-либо уязвимостях. Код все ещё на стадии разработки.

anonymous
()
Ответ на: комментарий от anonymous

Они прокричали «мы сделаем безопасно». И сделали опасно. в Linux :|

тут скорее вызывает критику сам подход к разработке. как написал сам тео - «not developed by a responsible team», получилось что про себя он написал.

prizident ★★★★★
() автор топика
Ответ на: комментарий от prizident

Ты опять пропустил часть моих сообщений. Основная платформа разработки — OpenBSD. Они сразу об этом заявили. Portable версия — не более, чем side-проект, который во-перых, ещё не закончен, а во-вторых, требует достаточно весомого аудита сообществом Linux. Который, в общем-то, и проводится. И разработчики сразу сказали, что они не знают и не могут знать вообще всех тонкостей остальных платформ. А значит, если кто-то горит желанием сделать portable версию действительно надежной, он должен провести аудит самостоятельно.

anonymous
()
Ответ на: комментарий от prizident

Понимаешь, разработчики OpenBSD об этом мало пекутся. У них есть вполне стабильная пользовательская аудитория, и наше с тобой мнение (и вообще мнения людей, от которых проекту ни тепло ни холодно) на их счет мало что меняет.

anonymous
()
Ответ на: комментарий от anonymous

Ну по виду вполне пекутся, т.к. вон быстренько начали шевелиться, стоило появится сообщению о сабже.

prizident ★★★★★
() автор топика
Ответ на: комментарий от prizident

Им сообщили о баге, они поправили. Баги, о которых я им сообщал, они тоже правили достаточно быстро. Для этого разработчики и нужны, не?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.