AppChecker’ом по Бляйхенбахеру
Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!
В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».
Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.
На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.
К уязвимости приводит следующий фрагмент кода:
function encrypt_data($data)
{
...
if (!openssl_public_encrypt($input, $encrypted, $key))
...
}
Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым [https://framework.zend.com/security/advisory/ZF2015-10] и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ.
Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.
«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.
Компания АО "НПО "Эшелон"
Опубликовано: 01.04.2019Другие новости
Нет фото | В СВЯЗИ С ПОДОРОЖАНИЕ СТОИМОСТИ СЫРЬЯ, С 3 ИЮНЯ 2024Г. МЕНЯЮТСЯ ЦЕНЫ НЕ БОЛЕЕ ЧЕМ НА 5% Повышаются цены на следующие группы изделий: Короба КЗП, КЗПП, СП, СК световые Лотки лестничные НЛ, НЛК, ЛЛУ, Лотки листовые ЛГ, ЛП, ЛГ(М), Л... |
Нет фото | C 05 ИЮНЯ 2024 ГОДА КОМПАНИЯ «ТЕХНОПРОМ» (Т.М OSTEC) ПРОИЗВЕДЕТ КОРРЕКТИРОВКУ ТАРИФА ДЛЯ ВСЕХ ТОВАРНЫХ ГРУПП, СРЕДНИЙ ПРОЦЕНТ ИЗМЕНЕНИЙ СОСТАВИТ 2-3%. Для лотков лестничного типа серий НЛО/ВЛЛ повышение составит +7% В товарной группе «Огнезащита ОКП/ОКЛ» будут введены ограничения по миним... |
 | Корпуса металлические с монтажной панелью TITAN 5 IEK – новые габариты уже в продаже Представляем новые габариты в линейке металлических корпусов с монтажной панелью ЩМП TITAN 5 IEK. Обновлённый габаритный ряд соста... |
 | Аксессуары для линейных электроприводов PSL Позиционер PSAP.3 (вход 2-10В/4-20мА, выход 2-10В/4-20мА)
Потенциометр PD210 (1000Ом, ходы штоков: 50, 65, 100)
Дополнительные концевые выключат... |
 | Электрод сигнализации низкого уровня VIRA SMLD 1000 Электрод сигнализации низкого уровня VIRA SMLD 1000
Рmax=32бар, Тmax=239C. G1/2", L=1000mm
Контроллер сигнализации уровня с функцией
самокон... |