Update:Pocas horas después de la publicación de este artículo, el fundador de OpenBSD Theo de Raadt enviado por correo electrónico Ars y escribió: ".. Es la manera exagerada Esto nunca sucede en código real \" \ La vulnerabilidad, catalogada como CVE-2014-2970, ya ha sido parcheado, con código modificado ubicadaaquí
El \ primero "preview \" liberación de OpenSSL LibreSSL alternativa es salir, y ya un investigador dice que ha encontrado un \ "fracaso \ catastrófico" en la versión para Linux.
El problema reside en el pseudo-generador de números aleatorios (PRNG) que LibreSSL se basa en crear las claves que no se puedan adivinar incluso cuando un atacante utiliza computadoras extremadamente rápidas. Cuando se hace correctamente, la piscina de los números suministrados es tan vasto que la salida casi nunca se repetirá en las solicitudes posteriores, y no debe haber ninguna manera de los adversarios para predecir con exactitud lo que son más propensos que otros a ser elegidos los números. Generadores que no producen un muy gran número de números verdaderamente aleatorios pueden socavar un esquema de cifrado de otra manera robusta. El Dual EC_DRBG influenciado por la Agencia de Seguridad Nacional y el usado por defecto en BSAFE kit de herramientas de RSA, por ejemplo, según se informa tan previsible quepuede socavar la seguridad de las aplicaciones que dependen de ella
Tidak ada komentar:
Posting Komentar