OpenSSL分支LibreSSL爆出伪随机数生成器缺陷

安全
在“心脏流血”之后从OpenSSL的分支出来的LibreSSL项目最近被发现也存在一个严重的安全缺陷, 这也说明了开发安全库确实不是一件容易的事。

在“心脏流血”之后从OpenSSL的分支出来的LibreSSL项目最近被发现也存在一个严重的安全缺陷, 这也说明了开发安全库确实不是一件容易的事。 这个漏洞尽管不像“心脏流血”那样严重, 但是也可能导致LibreSSL的随机数生成出错。

[[116764]]

安全专家Andrew Ayer在 LibreSSL portable 2.0.0的预览版本放出两天后, 经过测试和验证。 发现了这个“可能导致严重错误”的缺陷。 他说:“经过对代码库的测试与审查, 我的反馈是, LibreSSL的伪随机数生成器在Linux系统下不具备鲁棒性。 不如它要替代的OpenSSL的伪随机数生成器安全。

Tripwire的安全研究专家Craig Young认为:“这个LibreSSL的缺陷显示了在类似OpenSSL这样复杂的代码库中创建一个分支的困难性。 这里LibreSSL的开发者也许没有充分意识到为什么需要特定函数(RAND_poll)对伪随机数生成器进行种子重置。”

Craig Young补充道:“尽管这段代码在LibreSSL的开发者看来也许无关紧要, Ayer的研究揭示了这其实与安全大有关系。 随机数生成器是SSL实现的重要部分。 因为它能够防止黑客通过猜解密钥来破解加密通信数据。”

在Linux系统下, LibreSSL的这个缺陷会导致出现相同输出的概率高两倍或者更多。 鉴于此, OpenBSD已经发布了一个针对这个CVE-2014-2970的补丁, 并且声称, 已经在代码中进行了修正。

因此, 这个缺陷所造成的威胁并没有那么大, 因为LibreSSL并没有广泛应用, 对很多开发者来说, 首选的还是OpenSSL。

“这就像可口可乐和百事可乐一样, 死忠的粉丝不会轻易换牌子。 ”安全研究专家Tyler Reguly说:“LibreSSL已经开始逐渐追上了。 这次的这个缺陷的暴露, 让人们看到了LibreSSL差距, LibreSSL社区还得加倍努力。 ”

尽管人们普遍认为这个缺陷并不意味着LibreSSL项目就会死了, 但是这么早就暴露了这样严重的缺陷对项目本身也绝不是好事。

原文地址:http://www.aqniu.com/neotech/network-security/3705.html

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2014-11-13 10:03:19

2022-06-17 11:04:46

生成器计算

2017-05-18 10:00:40

Linuxpandom随机数生成器

2021-08-12 17:13:28

漏洞IoT设备网络攻击

2021-04-07 08:00:00

Java开发工具

2022-05-22 13:59:27

Go编程语言

2009-12-02 17:01:01

PHP随机数rand()

2022-10-17 18:29:55

2016-01-21 09:55:51

2011-05-19 11:30:00

密码密码生成器

2021-08-26 13:22:46

雪花算法随机数

2018-11-19 10:10:51

Python数据库随机生成器

2019-12-26 14:07:19

随机数伪随机多线程

2023-08-08 10:15:18

2010-03-22 19:41:31

2022-09-07 08:37:34

DCGAN图片AI

2015-12-25 15:45:56

2019-09-11 10:09:00

Java虚拟机算法

2022-02-15 10:30:58

UUID

2017-05-29 09:56:25

点赞
收藏

51CTO技术栈公众号