dodany: 08.04.2013 | tagi: ,

Autor:

Błąd w generatorze liczb losowych NetBSD

0

Znaleziono poważny problem w generatorze liczb losowych w NetBSD, uniksopochodnego, przenośnego systemu z rodziny BSD. Luka ta mogła skutkować generowaniem słabych, łatwych do złamania kluczy szyfrujących. Winnym okazał się błędnie umiejscowiony nawias w kodzie źródłowym kernela NetBSD. Developerzy opublikowali już aktualizację, zalecają także ponowne utworzenie kluczy wygenerowanych wcześniej pod wydaniami 6.0 i current.

Programistyczny błąd skutkował generowaniem nie do końca losowych liczb. Duże ryzyko występuje podczas uruchamiania systemu z powodu małej ilości dostępnej entropii. Najbardziej narażone są 32-bitowe systemy, na których klucze szyfrujące mogą mieć maksymalną długość 32 bitów. Złamanie 4 miliardów kombinacji jest technicznie wykonalne. Przykładem mogą być klucze serwerów SSH generowane podczas startu systemu.

Błąd w pewnym stopniu przypomina podobny problem znaleziony w 2008 roku w Debianie, ale dotknął on większą liczbę systemów. Wtedy był on spowodowany wadliwym patchem nakładanym na pakiet OpenSSL, który umożliwiał atakującemu złamanie każdego klucza stworzonego przez OpenSSL.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *