OpenSSL分支LibreSSL爆出伪随机数生成器缺陷

OpenSSL分支LibreSSL爆出伪随机数生成器缺陷

黑客平台访客2021-10-12 8:42:009234A+A-

  在“心脏流血”之后从OpenSSL的分支出来的LibreSSL项目最近被发现也存在一个严重的安全缺陷, 这也说明了开发安全库确实不是一件容易的事。 这个漏洞尽管不像“心脏流血”那样严重, 但是也可能导致LibreSSL的随机数生成出错。

  安全专家Andrew Ayer在 LibreSSL portable 2.0.0的预览版本放出两天后, 经过测试和验证。 发现了这个“可能导致严重错误”的缺陷。 他说:“经过对代码库的测试与审查, 我的反馈是, LibreSSL的伪随机数生成器在Linux系统下不具备鲁棒性。 不如它要替代的OpenSSL的伪随机数生成器安全。

  Tripwire的安全研究专家Craig Young认为:“这个LibreSSL的缺陷显示了在类似OpenSSL这样复杂的代码库中创建一个分支的困难性。 这里LibreSSL的开发者也许没有充分意识到为什么需要特定函数(RAND_poll)对伪随机数生成器进行种子重置。”

  Craig Young补充道:“尽管这段代码在LibreSSL的开发者看来也许无关紧要, Ayer的研究揭示了这其实与安全大有关系。 随机数生成器是SSL实现的重要部分。 因为它能够防止黑客通过猜解密钥来破解加密通信数据。”

  在Linux系统下, LibreSSL的这个缺陷会导致出现相同输出的概率高两倍或者更多。 鉴于此, OpenBSD已经发布了一个针对这个CVE-2014-2970的补丁, 并且声称, 已经在代码中进行了修正。

  因此, 这个缺陷所造成的威胁并没有那么大, 因为LibreSSL并没有广泛应用, 对很多开发者来说, 首选的还是OpenSSL。

  “这就像可口可乐和百事可乐一样, 死忠的粉丝不会轻易换牌子。 ”安全研究专家Tyler Reguly说:“LibreSSL已经开始逐渐追上了。 这次的这个缺陷的暴露, 让人们看到了LibreSSL差距, LibreSSL社区还得加倍努力。 ”

  尽管人们普遍认为这个缺陷并不意味着LibreSSL项目就会死了, 但是这么早就暴露了这样严重的缺陷对项目本身也绝不是好事。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 莣萳旧我2022-06-03 08:31:55
  •   在“心脏流血”之后从OpenSSL的分支出来的LibreSSL项目最近被发现也存在一个严重的安全缺陷, 这也说明了开发安全库确实不是一件容易的事。 这个漏洞尽管不像“心脏流血”那样严重, 但是也可能导致LibreSSL的随机数生成出错。  安全专家
  • 舔夺酒废2022-06-03 07:38:31
  • 随机数生成出错。  安全专家Andrew Ayer在 LibreSSL portable 2.0.0的预览版本放出两天后, 经过测试和验证。 发现了这个“可能导致严重错误”的缺陷。 他说:“经过对代码库的测试与审查, 我的反
  • 只影笑惜2022-06-03 09:18:36
  • 不如它要替代的OpenSSL的伪随机数生成器安全。  Tripwire的安全研究专家Craig Young认为:“这个LibreSSL的缺陷显示了在类似OpenSSL这样复杂的代码库中创建一个分支的困难性。 这里LibreSSL的开发者也许没有充分意识到为什
  • 瑰颈桔烟2022-06-03 02:17:27
  • 误”的缺陷。 他说:“经过对代码库的测试与审查, 我的反馈是, LibreSSL的伪随机数生成器在Linux系统下不具备鲁棒性。 不如它要替代的OpenSSL的伪随机数生成器安全。  Tripwi

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理