 |
AppChecker’ом по Бляйхенбахеру
В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».
Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.
На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.
К уязвимости приводит следующий фрагмент кода:
function encrypt_data($data)
{
...
if (!openssl_public_encrypt($input,$encrypted,$key))
...
}
Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ.
Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.
«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.
Контактное лицо: Алеся Данилкович
Компания: АО "НПО "Эшелон"
Добавлен: 21:58, 02.04.2019
Количество просмотров: 437
Страна: Россия
| Тренды бухгалтерского учета и налогообложения в ОАЭ на 2024-2025 годы, Бухгалтерские услуги в ОАЭ. Bright Global Accounting, 03:52, 24.11.2024, другие страны87 |
| ОАЭ становятся всё более важным центром для бизнеса и инвестиций, привлекая международные компании и стартапы. В свете глобальных изменений и внутренней налоговой реформы, тренды бухгалтерского учета и налогообложения в ОАЭ будут продолжать эволюционировать. |
| Российский бизнес стал заранее планировать командировки, Цифровая платформа для организации командировок и управления расходами Ракета, 04:24, 11.11.2024, Россия580 |
| Российский бизнес стал заранее планировать командировки – глубина бронирования тревел-услуг увеличилась. Такие данные приводят эксперты цифровой платформы для организации командировок и управления расходами Ракета. |
| Серия вебинаров «Check-up бизнеса», Группа «ДЕЛОВОЙ ПРОФИЛЬ», 05:50, 06.10.2024, Россия838 |
| Знаковое событие осени для бизнес-сообщества! Старт серии обучающих мероприятий по самым злободневным проблемам и вызовам рынка
В сентябре - ноябре 2024 г. команда экспертов АКГ «ДЕЛОВОЙ ПРОФИЛЬ» проведет серию онлайн-вебинаров и видеотрансляций под общей тематикой «Check-up бизнеса». Ближайшее событие состоится 24 сентября. Участие во всех мероприятиях бесплатное. |
| B2B-маркетплейс «на_полке» проводит ребрендинг и обновление платформы, Маркетплейс "на_полке", 17:20, 25.08.2024, Россия193 |
| B2B-маркетплейс оптовых закупок «на_полке» обновляет фирменный стиль, что станет очередным этапом перезапуска всего проекта, начавшегося в 2023 году. Новое визуальное воплощение платформы символизирует не только ее функциональные особенности, но и ярко отражает миссию компании и ее место на рынке. |
| XXVIII слет предпринимателей CLUB 500, CLUB 500, 07:41, 28.07.2024, Россия365 |
| 21-23 июля в Сочи на Красной поляне состоялся XXVIII слет предпринимателей CLUB 500. В нем приняли участие более 500 резидентов — крупных предпринимателей из разных городов России и мира. Все участники — основатели компаний, лидеры в своих нишах. |
|
|
