přejít na obsah přejít na navigaci

Linux E X P R E S, Linuxová verze LibreSSL je údajně nebezpečná

EDU Trainings IT školení

Linuxová verze LibreSSL je údajně nebezpečná

LibreSSL

Krátce po vydání verze 2.0 knihovny LibreSSL byla v implementaci pro Linux nalezena zranitelnost týkající se generování klíčů. Tvůrci ale tvrdí, že ji reálně zneužít nejde a už byla navíc opravena.


Tvůrci projektu OpenBSD vyvíjení vlastní fork knihovny OpenSSL nazvaný LibreSSL. Od původní knihovny se liší výrazným pročištěním kódu a odstraněním „zbytečných“ částí implementace. Krátce poté, co byla vydána verze 2.0 s implementací i pro Linux, nalezli v ní výzkumníci vážnou zranitelnost.

Problém spočívá v generátoru pseudonáhodných čísel, který se využívá při generování klíčů. Pokud proces využívající generátor vytvoří nový proces, může se stejný výstup objevit v obou (nebo i více) procesech. Standardně se sice využívá detekce změny PID, která vyvolá přegenerování, ovšem za určitých okolností (16bitové PID a dvoj- či vícestupňová dědičnost procesů) by mohlo k duplicitě dojít.

Theo de Raadt, zakladatel projektu OpenBSD, však katastrofický pohled odmítá: „Je to nafouknuté. Tohle ve skutečném kódu nikdy nenastane.“ S tím, že zdrojový kód byl navíc již opraven. LibreSSL ovšem trpí ještě dalším problémem, a to při běhu v prostředí chroot. Na rozdíl od OpenSSL se nedokáže dobře vyrovnat s nedostupností souboru zařízení pro generování pseudonáhodných čísel a příliš spoléhá na predikovatelné zdroje entropie.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Domény a nepřeberné množství internetových adres s možností jejich zneužití

dnnsecNepropásněte sérii webinářů zaměřených na aktuální bezpečnostní trendy a jednotnou správu zabezpečení vaše IT – každé pondělí a zdarma.
S doménami přijde do kontaktu naprosto každý uživatel internetu, ačkoliv si to asi neuvědomuje. Už jenom samotné hledání na internetu je spojené s doménami, o nakupování v internetových obchodech ani nemluvě. Věděli jste však, že domény mohou být poměrně jednoduše napadeny?

Pokračování ...


SOPHOS - hacking webinar 2

Redakční blog

Pavel Fric

Pavel Fric, 21. srpen

Sayonara Player 1.5.1

Přehrávač, jak má být. Poslední dobou vývoj šlape


Pavel Fric

Pavel Fric, 26. leden

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. prosinec

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Všechny blogy »

SOPHOS - hacking webinar 2