|
AppChecker’ом по Бляйхенбахеру
В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».
Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.
На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.
К уязвимости приводит следующий фрагмент кода:
function encrypt_data($data) { ... if (!openssl_public_encrypt($input,$encrypted,$key)) ... }
Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым [https://framework.zend.com/security/advisory/ZF2015-10] и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ. Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.
«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.
Контактное лицо: Алеся Данилкович
Компания: АО "НПО "Эшелон"
Добавлен: 23:21, 01.04.2019
Количество просмотров: 303
Страна: Россия
Система управления уязвимостями Vulns.io Enterprise VM поможет повысить защищенность IT-инфраструктур промышленных предприятий, Фродекс, 23:36, 06.06.2024, Россия360 |
30 мая 2024 года, Москва. Кибербезопасность промышленных предприятий, многие из которых входят в объекты критической инфраструктуры страны, — один из важнейших вопросов национальной безопасности. Компания «Фродекс», один из ведущих российских разработчиков новых технологий и продуктов кибербезопасности, предложила решение, которое позволит повысить уровень защищенность IT-инфраструктур таких предприятий. |
В АО "Желдорреммаш" запущен проект “Дашборд”, АО Желдорреммаш, 23:23, 06.06.2024, Россия172 |
В АО “Желдорреммаш” запущен уникальный инструмент управления и мониторинга - дашборд. Его цель - отслеживание в реальном времени ключевых показателей деятельности компании в месячном и годовом значении, а также плана выполнения различных параметров бережливого производства по каждой производственной площадке Общества. |
ЕДИНЫЙ ЦУПИС и академия «Динамо» развивают детско-юношеский футбол в Новгородской области, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:46, 06.06.2024, Россия167 |
ЕДИНЫЙ ЦУПИС, финтех-проект в регулируемой индустрии развлечений, и Новгородский филиал футбольной академии «Динамо» им. Л.И. Яшина договорились о развитии сотрудничества. При поддержке ЕДИНОГО ЦУПИС в регионе усовершенствуют спортивную инфраструктуру, а воспитанники академии примут участие в престижных футбольных турнирах. |
Офис ЕДИНОГО ЦУПИС получил премию Best Office Awards, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:41, 06.06.2024, Россия181 |
Офис ЕДИНОГО ЦУПИС в Санкт-Петербурге стал победителем премии Best Office Awards 2024 в номинации «Комфорт и эргономика». Одну из главных российских профессиональных наград в области дизайна общественных пространств получили команда финтех-проекта и архитектурного бюро Designic. |
Сотрудники сети «Кофемания» перешли в eXpress, eXpress, 22:27, 06.06.2024, Россия170 |
Компания «Кофемания» перевела корпоративную коммуникацию и бизнес-процессы в российский суперапп для бизнеса eXpress. Первыми пользователями стали 300 сотрудников бекофиса компании. |
Уборка «Воды России» на краю земли, ФГБУ «Центр развития ВХК», 22:26, 06.06.2024, Россия173 |
Всероссийская акция «Вода России», масштабный волонтерский проект по очистке берегов водоемов, пройдет в Новосибирске. Мероприятие реализуется в рамках нацпроекта “Экология” и станет одним из важнейших событий Дня эколога и пройдет в рамках Марафона Зеленых Дел Всероссийского движения «Экосистема». |
|
|