Пресс-релизы //

AppChecker’ом по Бляйхенбахеру

В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».

Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.

На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.

К уязвимости приводит следующий фрагмент кода:

function encrypt_data($data)
{
...
if (!openssl_public_encrypt($input,$encrypted,$key))
...
}

Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым [https://framework.zend.com/security/advisory/ZF2015-10] и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ.
Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.

«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.

Контактное лицо: Алеся Данилкович
Компания: АО "НПО "Эшелон"
Добавлен: 23:21, 01.04.2019 Количество просмотров: 407
Страна: Россия

Генетика прежде всего: в Алтайском ГАУ обсудили актуальные вопросы кинологии, Алтайский государственный аграрный университет, 22:14, 21.04.2026, Россия685

В Алтайском государственном аграрном университете состоялась V Всероссийская научно-практическая конференция «Актуальные вопросы кинологии».

«1С-Рарус» в Санкт-Петербурге стал Центром компетенции по ЭДО, 1С-Рарус, 22:14, 21.04.2026, Россия675

В апреле фирма «1С» признала «1С-Рарус» в Санкт-Петербурге официальным Центром компетенции по ЭДО. Полученный статус подтверждает компетенции специалистов компании по внедрению электронного документооборота.

ПАО «Московское речное пароходство» проводит ребрендинг на теплоходах класса люкс., ПАО "Московское речное пароходство", 22:13, 21.04.2026, Россия745
В 2026 году люксовые теплоходы «Княжна Виктория» и «Александр Грин» выйдут в навигацию под брендом «Московское пароходство 1858».

ГОРОДСКАЯ СРЕДА Диалог: от идеи и концепции к технологии благоустройства, АНО «НАРТ», 22:13, 21.04.2026, Россия678

19 мая стартует первое мероприятие цикла по формату «ТЕХДЕНЬ НАРТ» в партнерстве с Издательским домом «Гений места». Ключевая задача цикла - превратить разговоры красивых концепциях в рабочие механизмы благоустройства, учитывающие реальные бюджеты, нормативные ограничения и эксплуатационные риски. формате открытого экспертного и оескомпромиссного диалога заказчиками и компаниями будут обсуждаться применимость решении, между их стоимость, возможность нормативной интеграции и масштабирования.

Первый Бит проведет вебинар: «Сколько стоит 1 день без IT-систем: скрытые потери бизнеса», Первый Бит, 22:12, 21.04.2026, Россия679
Эксперты Первого Бита 29 апреля в 11:00 (МСК) проведут бесплатный вебинар на тему «Сколько стоит 1 день без IT- систем: скрытые потери бизнеса».

Более 300 сотрудников Свердловского филиала «ЛокоТех-Сервис» повысят свою квалификацию в 2026 году, «ЛокоТех-Сервис», 22:11, 21.04.2026, Россия739
За первые 2 месяца года улучшили свои знания и навыки уже 43 человека

Балансировщик Termidesk Connect 1.3: еще больше отказоустойчивости, производительности и гибкости настройки, "Группа Астра", 22:10, 21.04.2026, Россия677

В свежем релизе вендор реализовал целый ряд новшеств для повышения отказоустойчивости и более гибкого управления трафиком. Кроме того, появились и другие улучшения, с которыми пользоваться продуктом в корпоративных и облачных средах стало заметно удобнее.

ИТЦ Приморского края первым внедрил сертифицированную версию Innostage PAM, Innostage, 22:03, 21.04.2026, Россия130

Информационно-технологический центр Приморского края (ИТЦ) внедрил Innostage PAM для управления привилегированным доступом к региональным информационным системам — как для собственных сотрудников, так и для подрядных организаций.

У корпоративных ИТ-архитекторов появился инструмент объективной аналитики проектирования ERP, НЦК ИСУ, 00:22, 21.04.2026, Россия216

АНО «Национальный центр компетенций по информационным системам управления холдингом» создала wiki-платформу, которая претендует на статус отечественного аналога международных аналитических ресурсов, подобных Gartner и APQC.

«Рейтинг Рунета» выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях, Рейтинг Рунета, 00:22, 21.04.2026, Россия250

Аналитический сервис подбора подрядчиков «Рейтинг Рунета» закончил работу над методикой нового рейтинга компаний, занимающихся продвижением в нейросетях (GEO/AEO). Рейтинг будет опубликован в июне 2026 года. По предварительным оценкам, в него попадут более 50 агентств из России и ближнего зарубежья.

ITKey выпустил KeyStack 2026.1 - первую российскую коммерческую платформу на OpenStack Epoxy с расширенной enterprise-функциональностью и архитектурой secure-by-default, ITKey, 23:00, 20.04.2026, Россия303

Компания ITKey, российский разработчик и поставщик решений для построения корпоративной облачной инфраструктуры, объявляет о выходе релиза KeyStack 2026.1 - одного из наиболее технологически значимых обновлений платформы. Новая версия сочетает актуальный OpenStack Epoxy с набором собственных промышленных доработок, ориентированных на безопасность, масштабируемость и эксплуатационную устойчивость распределенных инфраструктур.

Пора сэкономить. «Выберу.ру» подготовил рейтинг лучших программ рефинансирования ипотеки в апреле 2026 года, Финансовый маркетплейс "Выберу.ру", 22:54, 20.04.2026, Россия214

«Выберу.ру» подготовил рейтинг банков с наиболее выгодными программами рефинансирования ипотеки. ТОП-подборка позволит ипотечникам, которые оформили жилкредит по высоким прошлогодним ставкам, найти выгодное решение.

ТГУ меняет подход к охране труда, ТГУ, 22:50, 20.04.2026, Россия248
ТГУ запатентовал программу «АУРА», которая автоматически оценивает профессиональные риски.

Северный Народный Банк запустил сервис АУСН на платформе BSS: малый бизнес Коми получил доступ к новому налоговому режиму, BSS, 22:50, 20.04.2026, Россия275

«Северный Народный Банк» (АО) объявил о вводе в промышленную эксплуатацию модуля Автоматизированной упрощённой системы налогообложения (АУСН) компании BSS. Теперь клиенты банка из сегмента микро- и малого бизнеса, могут подключиться к бездекларационному налоговому режиму и управлять им напрямую из интерфейса дистанционного банковского обслуживания (ДБО).

ГИГАНТ Компьютерные системы про защищенные компьютеры созданные для работы в полевых условиях, ГИГАНТ, 19:58, 19.04.2026, Россия304

Владимир Кудряшов, директор сервисного департамента компании «ГИГАНТ Компьютерные системы» рассказывает о рынке защищенных компьютеров для работы в полевых условиях — от влияния регуляторики и импортозамещения до сервисной поддержки в труднодоступных локациях и перспектив российских решений за рубежом.