Главная »
2016 »
Август »
18 » Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
00:07 Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt |
| Разработчики пакета GnuPG объявили о выявлении критической уязвимости в библиотеке Libgcrypt, предоставляющей компоненты, лежащие в основе механизмов шифрования, применяемых в GnuPG. Уязвимость присутствует в функции смешивании энтропии генератора псевдослучайных чисел, используемом в Libgcrypt и GnuPG, и позволяет предсказать следующие 160 бит последовательности, получив 4640 бит от генератора. Проблема присутствует во всех версиях GnuPG и Libgcrypt, выпущенных до 17 августа 2016 года, так как ошибка была допущена на раннем этапе разработки ещё в 1998 году.
Анализ возможных последствий уязвимости показал, что она не влияет на надёжность созданных в GnuPG ключей RSA. Что касается ключей DSA и Elgamal, то возможность предсказания закрытого ключа по открытой информации оценивается как маловероятная. Причин для срочной замены ключей нет, но влияние проблемы на надёжность ключей ещё требует более глубокого изучения.
Проблема устранена в Libgcrypt 1.7.3, 1.6.6 и 1.5.6 (используется в GnuPG 2), а также в GnuPG 1.4.21. Обновления пакетов в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). В качестве идентификатора уязвимости указан CVE-2016-6316, но судя по всему допущена ошибка, так как CVE-2016-6316 уже ранее был привязан к уязвимости в Ruby on Rails.
|
|
Просмотров: 187 |
Добавил: muge
| Рейтинг: 0.0/0 |