přejít na obsah přejít na navigaci

Linux E X P R E S, Linuxová verze LibreSSL je údajně nebezpečná

POINT.X (2018-19)

Linuxová verze LibreSSL je údajně nebezpečná

LibreSSL

Krátce po vydání verze 2.0 knihovny LibreSSL byla v implementaci pro Linux nalezena zranitelnost týkající se generování klíčů. Tvůrci ale tvrdí, že ji reálně zneužít nejde a už byla navíc opravena.


reklama

Tvůrci projektu OpenBSD vyvíjení vlastní fork knihovny OpenSSL nazvaný LibreSSL. Od původní knihovny se liší výrazným pročištěním kódu a odstraněním „zbytečných“ částí implementace. Krátce poté, co byla vydána verze 2.0 s implementací i pro Linux, nalezli v ní výzkumníci vážnou zranitelnost.

Problém spočívá v generátoru pseudonáhodných čísel, který se využívá při generování klíčů. Pokud proces využívající generátor vytvoří nový proces, může se stejný výstup objevit v obou (nebo i více) procesech. Standardně se sice využívá detekce změny PID, která vyvolá přegenerování, ovšem za určitých okolností (16bitové PID a dvoj- či vícestupňová dědičnost procesů) by mohlo k duplicitě dojít.

Theo de Raadt, zakladatel projektu OpenBSD, však katastrofický pohled odmítá: „Je to nafouknuté. Tohle ve skutečném kódu nikdy nenastane.“ S tím, že zdrojový kód byl navíc již opraven. LibreSSL ovšem trpí ještě dalším problémem, a to při běhu v prostředí chroot. Na rozdíl od OpenSSL se nedokáže dobře vyrovnat s nedostupností souboru zařízení pro generování pseudonáhodných čísel a příliš spoléhá na predikovatelné zdroje entropie.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog