Обнаружена уязвимость в генераторе случайных чисел GnuPG и Libgcrypt

Обнаружена уязвимость в генераторе случайных чисел GnuPG и Libgcrypt

Обнаружена уязвимость в генераторе случайных чисел GnuPG и Libgcrypt

Разработчики пакета GnuPG объявили о выявлении критической уязвимости в библиотеке Libgcrypt, предоставляющей компоненты, лежащие в основе механизмов шифрования, применяемых в GnuPG. Уязвимость присутствует в функции смешивании энтропии генератора псевдослучайных чисел, используемом в Libgcrypt и GnuPG.

Она позволяет предсказать следующие 20 байт последовательности, получив 580 байт от генератора. Ошибка была допущена на раннем этапе разработки ещё в 1998 году, поэтому проблема присутствует во всех версиях GnuPG и Libgcrypt, выпущенных до 17 августа 2016 года.

Анализ возможных последствий уязвимости показал, что она не влияет на надёжность созданных в GnuPG ключей RSA. Что касается ключей DSA и Elgamal, то возможность предсказания закрытого ключа по открытой информации оценивается как маловероятная. Причин для срочной замены ключей нет, но влияние проблемы на надёжность ключей ещё требует более глубокого изучения.

Для RSA отсутствие влияния проблемы связано с тем, что при генерации RSA-ключа в GPG создаётся два ключа - для первого 4096-разрядного ключа RSA использует 512 байт случайных чисел, а утечка приходятся на второй вспомогательный ключ, 20 байт случайных данных для которого могут быть предсказаны из последовательности для первого ключа. Так как первым генерируется первичный ключ, от которого зависит безопасность, предсказуемые 20 байт не представляют угрозы. Для 2048-разрядных ключей RSA оба ключа укладываются в надёжные 580 байт случайных данных. При создании ключей DSA+Elgamal читается как минимум 1140 байт случайных чисел, поэтому с ними не всё так однозначно, пишет opennet.ru.

Проблема устранена в Libgcrypt 1.7.3, 1.6.6 и 1.5.6 (используется в GnuPG 2), а также в GnuPG 1.4.21. Обновления пакетов в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). В качестве идентификатора уязвимости указан CVE-2016-6316, но судя по всему допущена ошибка, так как CVE-2016-6316 уже ранее был привязан к уязвимости в Ruby on Rails.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Почти треть компаний отметили увеличение количества поломок ИТ-оборудования

Анализ 400 проектов, размещённых на платформе «Контур.Закупки», а также опрос 100 ИТ-директоров крупных компаний показали: 30% респондентов отмечают рост числа инцидентов, требующих привлечения внешних экспертов.

За последние два года наблюдается устойчивая тенденция увеличения числа отказов ИТ-оборудования.

Основными причинами называют устаревшую инфраструктуру, использование разнородных технологических стеков, а также сложности с обновлением как оборудования, так и программного обеспечения.

Сегодня 80% крупных компаний используют гибридную ИТ-инфраструктуру, включающую отечественные, зарубежные и унаследованные решения собственной разработки. Существенная доля оборудования эксплуатируется более восьми лет, однако его замена часто невозможна по финансовым или технологическим причинам.

В среднем около 40% ИТ-бюджета уходит на обслуживание инфраструктуры. При этом 46% технических и ИТ-директоров планируют увеличить инвестиции в её модернизацию и сокращение объёма унаследованных систем.

Компания КРОК отмечает рост сложности инфраструктурных проектов. Спрос на услуги по обновлению программного обеспечения вырос втрое. Также увеличивается потребность в специалистах по сопровождению отечественных решений и продуктов с открытым исходным кодом. Отдельным направлением стала адаптация решений на платформе «1С» под индивидуальные требования заказчиков.

«Непрерывность бизнеса — одна из ключевых метрик в ИТ. Сегодня её обеспечение осложняется ограниченным доступом к производителям оборудования и ПО. Управление гибридной, устаревшей и современной инфраструктурой требует значительных компетенций. Привлечение сервисного партнёра позволяет компаниям избежать расширения ИТ-штата. Мы видим, что запросы становятся всё более комплексными: от поддержки отдельных компонентов переходят к полной ответственности за работоспособность инфраструктуры, включая её развитие. Это повышает ценность и стоимость сервисных услуг», — комментирует Валентин Губарев, заместитель генерального директора по развитию бизнеса КРОК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru