R E K L A M A
P O R E K L A M I E

Wieluń - forum,adresy, informacje, reklama, kluby, restauracje, komunikacja, pkp, pks, ogłoszenia, praca,mapa, firmy, radio




Wieluń - forum, informacje, ogłoszenia Strona Główna Wieluń - forum, informacje, ogłoszenia


FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  Chat  DownloadDownload

Poprzedni temat :: Następny temat
Zamknięty przez: Archdevil
2009-03-24, 14:56
Poważny błąd w OpenSSL
Autor Wiadomość
Archdevil 
Administrator
pan piekła



Pomógł: 57 razy
Wiek: 35
Dołączył: 12 Lip 2005
Posty: 2613
Piwa: 15/45
Skąd: Strugi
Wysłany: 2008-05-26, 14:44   Poważny błąd w OpenSSL

Open SSL to format szyfrowania danych stosowany w systemach opartych o jądro Linux, który stosowany jest między innymi w protokole SSH, VPN oraz w całej gamie różnych programów (np. klientach poczty elektronicznej) oraz na stronach internetowych. Okazuje się, że przez błąd programistów Debiana jeszcze z maja 2006 roku, bezpieczeństwo milionów użytkowników było (i nadal jest) zagrożone. Standardowo 128-bitowy klucz generowany przez OpenSSL może być jedną z 3.4*10^38 (2^128) kombinacji, której złamanie brutalnym atakiem jest praktycznie niemożliwe. Niestety przez błąd programu badającego kod źródłowy tego generatora, klucze wygenerowane przez OpenSSL miały tylko 32768 (2^15) kombinacji co znacznie ułatwia odnalezienie prawidłowej kombinacji. Błąd spowodował program Valgrind, który powinien skanować kod w poszukiwaniu furtek umożliwiających złamanie zabezpieczenia, a zrobił to poprzez zastąpienie bufora o losowej zawartości odpowiedzialnego za generacje klucza, ciągiem samych zer. W zamyśle programistów losowa zawartość bufora, na którą wpływ mają ruchy myszki czy nawet mikrodrgania talerzy dysku twardego pozwalała na generowanie losowego klucza, a program uznał to za błąd.

W ten sposób zagrożeni są głównie użytkownicy systemu Debian i opartego o niego Ubuntu, a także kilku innych dystrybucji. Co więcej naprawa takiego błędu nie jest prosta, bo trzeba wszystkie klucze wygenerować powtórnie, a nie jest to taka prosta sprawa gdy mówimy być może nawet o kilku milionach kluczy. Specjaliści od zabezpieczeń zastanawiają się nawet czy nie było to celowe działanie jakiejś grupy osób, która omawiany błąd chciałaby wykorzystać do włamań i podglądania transmisji innych użytkowników sieci. Obecnie trwają prace nad poprawą implementacji OpenSSL w zagrożonych dystrybucjach.

źródło: frazpc.pl

2^128, a 2^15 robi różnicę ;-)
_________________
diablos un pasos amigos (D.U.P.A)
http://www.radiofonia.net

Postaw piwo autorowi tego posta
 
 
   
yampress 
WIELUNIAK


Pomógł: 13 razy
Dołączył: 11 Lis 2006
Posty: 3119
Otrzymał 6 piw(a)
Skąd: Wieluń
Wysłany: 2008-05-26, 15:24   

Luka w oprogramowaniu juz dawno załatana.

http://www.us.debian.org/security/2008/dsa-1571

Cytat:
naprawa takiego błędu nie jest prosta, bo trzeba wszystkie klucze wygenerować powtórnie, a nie jest to taka prosta sprawa gdy mówimy być może nawet o kilku milionach kluczy


no ale nie piszą, że ta liczba to liczba kluczy w skali światowej....
Postaw piwo autorowi tego posta
 
   
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Template Acid v 0.4 modified by Nasedo.


Wieluń Forum dyskusyjne
Kontakt z Administracją Forum | Kontakt z właścicielem domeny
Stomatolog Wieluń Sprawdzenie przebiegu BMW | Iris Trade Łódź Montaż instalacji gazowych | Skracanie linków | Klinika BMW | Notariusz Włochy BMW SPRAWDZENIE PRZEBIEGU,HISTORIA SERWISOWA BMW