The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от opennews (ok) on 22-Июн-11, 14:57 
В библиотеке crypt_blowfish 1.1 (http://www.openwall.com/crypt/), используемой для хэширования паролей в таких дистрибутивах, как ALT Linux, Owl и SUSE, а а также для генерации хэшей в PHP 5.3.0+, исправлена ошибка (http://www.openwall.com/lists/announce/2011/06/21/1), присутствовавшая в коде на протяжении 13 лет и заметно снижавшая стойкость паролей, содержащих восьмибитовые символы. Проблема была выявлена (http://www.openwall.com/lists/john-dev/2011/06/20/3) в процессе тестирования эффективности John the Ripper - разработчики  тестового комплекта обратили внимание, что для генерируемого с одними и теми же параметрами пароля, хэш функция отличается для реализаций bcrypt в OpenBSD  и библиотеке crypt_blowfish.

Проблема проявляется (http://www.openwall.com/lists/oss-security/2011/06/20/2) в crypt_blowfish при использовании в тексте пароля восьмибитовых символов, например, русских букв. Примерно 3 из 16 паролей, содержащих один восьмибитовый символ теряют при генерации хэша 3 преды...

URL: http://www.openwall.com/lists/announce/2011/06/21/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=30953

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +2 +/
Сообщение от anon8 (ok) on 22-Июн-11, 14:57 
Нечего пароли из русских букв составлять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-11, 15:30 
А из китайских можно?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от Michael Shigorin email(ok) on 22-Июн-11, 16:46 
Восьмибитных.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от Anonymouse on 22-Июн-11, 18:06 
Всё таки OpenBSD - рулез!

PS: Не во всём конечно, но всё же :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от анон on 22-Июн-11, 18:11 
При чём тут опенбсд?
Это весьма типичная ошибка. Проблема собственно в том, что если двоичное число 1111 1111 считать имеющее знак (signed char), то при расширении его до 16 бит это будет число 1111 1111 1111 1111, а если без знака (unsigned char), то 0000 0000 1111 1111. В этом и ошибка по теме.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от Аноним (??) on 23-Июн-11, 05:47 
>При чём тут опенбсд?
>>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."

Переводил правда какой то деревянный - вот оригинал от самого Solar Designer'a":
"The impact of this bug was that most (but not all) passwords containing non-ASCII characters with the 8th bit set were hashed incorrectly, resulting in password hashes incompatible with those of OpenBSD's original implementation of bcrypt."

Как ты видишь этой "весьма типичной ошибки" в опенке нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от Аноним (??) on 23-Июн-11, 07:37 
>>При чём тут опенбсд?
>>>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."
> Переводил правда какой то деревянный

Не переводил деревянный, а квотил деревянный, там фраза совсем из другого контекста и как раз о том, что результат выполнения bcrypt в OpenBSD и crypt_blowfish не совпадает:

"Проблема была выявлена в процессе тестирования эффективности John the Ripper - разработчики  тестового комплекта обратили внимание, что для генерируемого с одними и теми же параметрами пароля, хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."  +/
Сообщение от solardiz (ok) on 25-Июн-11, 01:02 
Во-первых, хочу еще раз извиниться за эту нелепую ошибку и за то что мы ее не обнаружили раньше.

Во-вторых, я вносил некоторые правки в текст новости уже после ее публикации, т.к. последствия проблемы все еще исследовались. Вот как именно она проявляется для русских слов в koi8-r и utf-8 (очень по-разному): http://www.openwall.com/lists/oss-security/2011/06/24/1 (в текст новости эта ссылка тоже добавлена, но думаю ее мало кто заметил).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру