forum.opennet.ru - "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
Сообщение от opennews (ok) on 22-Июн-11, 14:57
В библиотеке crypt_blowfish 1.1 (http://www.openwall.com/crypt/), используемой для хэширования паролей в таких дистрибутивах, как ALT Linux, Owl и SUSE, а а также для генерации хэшей в PHP 5.3.0+, исправлена ошибка (http://www.openwall.com/lists/announce/2011/06/21/1), присутствовавшая в коде на протяжении 13 лет и заметно снижавшая стойкость паролей, содержащих восьмибитовые символы. Проблема была выявлена (http://www.openwall.com/lists/john-dev/2011/06/20/3) в процессе тестирования эффективности John the Ripper - разработчики тестового комплекта обратили внимание, что для генерируемого с одними и теми же параметрами пароля, хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish. Проблема проявляется (http://www.openwall.com/lists/oss-security/2011/06/20/2) в crypt_blowfish при использовании в тексте пароля восьмибитовых символов, например, русских букв. Примерно 3 из 16 паролей, содержащих один восьмибитовый символ теряют при генерации хэша 3 преды... URL: http://www.openwall.com/lists/announce/2011/06/21/1 Новость: http://www.opennet.ru/opennews/art.shtml?num=30953
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., anon8, 14:57 , 22-Июн-11, (1) +2

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., Аноним, 15:30 , 22-Июн-11, (2) +1

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., Michael Shigorin, 16:46 , 22-Июн-11, (3)

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., Anonymouse, 18:06 , 22-Июн-11, (4)

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., анон, 18:11 , 22-Июн-11, (5)

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., Аноним, 05:47 , 23-Июн-11, (8)

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., Аноним, 07:37 , 23-Июн-11, (9)

Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..., solardiz, 01:02 , 25-Июн-11, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +2 +/–

Сообщение от anon8 (ok) on 22-Июн-11, 14:57

Нечего пароли из русских букв составлять.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +1 +/–

Сообщение от Аноним (??) on 22-Июн-11, 15:30

А из китайских можно?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от Michael Shigorin (ok) on 22-Июн-11, 16:46

Восьмибитных.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от Anonymouse on 22-Июн-11, 18:06

Всё таки OpenBSD - рулез!
PS: Не во всём конечно, но всё же :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от анон on 22-Июн-11, 18:11

При чём тут опенбсд?
Это весьма типичная ошибка. Проблема собственно в том, что если двоичное число 1111 1111 считать имеющее знак (signed char), то при расширении его до 16 бит это будет число 1111 1111 1111 1111, а если без знака (unsigned char), то 0000 0000 1111 1111. В этом и ошибка по теме.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от Аноним (??) on 23-Июн-11, 05:47

>При чём тут опенбсд?
>>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."
Переводил правда какой то деревянный - вот оригинал от самого Solar Designer'a":
"The impact of this bug was that most (but not all) passwords containing non-ASCII characters with the 8th bit set were hashed incorrectly, resulting in password hashes incompatible with those of OpenBSD's original implementation of bcrypt."
Как ты видишь этой "весьма типичной ошибки" в опенке нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от Аноним (??) on 23-Июн-11, 07:37

>>При чём тут опенбсд?
>>>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."
> Переводил правда какой то деревянный
Не переводил деревянный, а квотил деревянный, там фраза совсем из другого контекста и как раз о том, что результат выполнения bcrypt в OpenBSD и crypt_blowfish не совпадает:
"Проблема была выявлена в процессе тестирования эффективности John the Ripper - разработчики тестового комплекта обратили внимание, что для генерируемого с одними и теми же параметрами пароля, хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..." +/–

Сообщение от solardiz (ok) on 25-Июн-11, 01:02

Во-первых, хочу еще раз извиниться за эту нелепую ошибку и за то что мы ее не обнаружили раньше.
Во-вторых, я вносил некоторые правки в текст новости уже после ее публикации, т.к. последствия проблемы все еще исследовались. Вот как именно она проявляется для русских слов в koi8-r и utf-8 (очень по-разному): http://www.openwall.com/lists/oss-security/2011/06/24/1 (в текст новости эта ссылка тоже добавлена, но думаю ее мало кто заметил).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+2 +/–
Сообщение от anon8 (ok) on 22-Июн-11, 14:57
Нечего пароли из русских букв составлять.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+1 +/–
	Сообщение от Аноним (??) on 22-Июн-11, 15:30
	А из китайских можно?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
	Сообщение от Michael Shigorin (ok) on 22-Июн-11, 16:46
	Восьмибитных.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
	Сообщение от Anonymouse on 22-Июн-11, 18:06
	Всё таки OpenBSD - рулез! PS: Не во всём конечно, но всё же :)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
	Сообщение от анон on 22-Июн-11, 18:11
	При чём тут опенбсд? Это весьма типичная ошибка. Проблема собственно в том, что если двоичное число 1111 1111 считать имеющее знак (signed char), то при расширении его до 16 бит это будет число 1111 1111 1111 1111, а если без знака (unsigned char), то 0000 0000 1111 1111. В этом и ошибка по теме.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
	Сообщение от Аноним (??) on 23-Июн-11, 05:47
	>При чём тут опенбсд? >>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish." Переводил правда какой то деревянный - вот оригинал от самого Solar Designer'a": "The impact of this bug was that most (but not all) passwords containing non-ASCII characters with the 8th bit set were hashed incorrectly, resulting in password hashes incompatible with those of OpenBSD's original implementation of bcrypt." Как ты видишь этой "весьма типичной ошибки" в опенке нет.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
	Сообщение от Аноним (??) on 23-Июн-11, 07:37
	>>При чём тут опенбсд? >>>"хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish." > Переводил правда какой то деревянный Не переводил деревянный, а квотил деревянный, там фраза совсем из другого контекста и как раз о том, что результат выполнения bcrypt в OpenBSD и crypt_blowfish не совпадает: "Проблема была выявлена в процессе тестирования эффективности John the Ripper - разработчики тестового комплекта обратили внимание, что для генерируемого с одними и теми же параметрами пароля, хэш функция отличается для реализаций bcrypt в OpenBSD и библиотеке crypt_blowfish."
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

10. "Доступен crypt_blowfish 1.1 с устранением уязвимости, упроща..."	+/–
Сообщение от solardiz (ok) on 25-Июн-11, 01:02
Во-первых, хочу еще раз извиниться за эту нелепую ошибку и за то что мы ее не обнаружили раньше. Во-вторых, я вносил некоторые правки в текст новости уже после ее публикации, т.к. последствия проблемы все еще исследовались. Вот как именно она проявляется для русских слов в koi8-r и utf-8 (очень по-разному): http://www.openwall.com/lists/oss-security/2011/06/24/1 (в текст новости эта ссылка тоже добавлена, но думаю ее мало кто заметил).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору