 |
AppChecker’ом по Бляйхенбахеру
В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».
Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.
На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.
К уязвимости приводит следующий фрагмент кода:
function encrypt_data($data)
{
...
if (!openssl_public_encrypt($input,$encrypted,$key))
...
}
Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым [https://framework.zend.com/security/advisory/ZF2015-10] и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ.
Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.
«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.
Контактное лицо: Алеся Данилкович
Компания: АО "НПО "Эшелон"
Добавлен: 23:21, 01.04.2019
Количество просмотров: 354
Страна: Россия
| 80-лет Великой Победы: праздничный эфир телеканала «78», телеканал "78" (Петербург), 17:28, 06.05.2025, Россия387 |
| 9 мая петербуржцы увидят трансляцию Парада Победы на Дворцовой площади, прямые включения с маршрута «Бессмертного полка», проезд ретро-техники по Невскому проспекту, а также премьеры авторских документальных фильмов, созданных ведущими телеканала «78». Вечером в специальном проекте «Песни Победы» знаменитые композиции исполнят артисты петербургской сцены и военные оркестры. |
| Спрос на командировки в Европу вырос на 20%, Цифровая платформа для организации командировок и управления расходами Ракета, 17:26, 06.05.2025, Россия388 |
| В апреле 2025 года российские деловые туристы на 20% чаще ездили в бизнес-путешествия в Европу. Такие данные приводят эксперты цифровой платформы для организации командировок и управления расходами Ракета, сравнивая показатели с апрелем прошлого года. |
| Желдорреммаш внедряет терминалы сбора данных, https://ao-zdrm.ru/, 17:25, 06.05.2025, Россия393 |
| В рамках программы цифровой трансформации и модернизации логистических процессов АО «Желдорреммаш» реализует проект внедрения терминалов сбора данных (ТСД) на заводских складах. |
|
|
