首页 >> 关于我们 >> 新闻动态

OpenSSL分支项目LibreSSL爆出伪随机数生成器缺陷

联软科技
2022年11月04日

 

在“心脏流血”之后从OpenSSL的分支出来的LibreSSL项目最近被发现也存在一个严重的安全缺陷, 这也说明了开发安全库确实不是一件容易的事。 这个漏洞尽管不像“心脏流血”那样严重, 但是也可能导致LibreSSL的随机数生成出错。

安全专家Andrew Ayer LibreSSL portable 2.0.0的预览版本放出两天后, 经过测试和验证。 发现了这个“可能导致严重错误”的缺陷。 他说:“经过对代码库的测试与审查, 我的反馈是, LibreSSL的伪随机数生成器在Linux系统下不具备鲁棒性。 不如它要替代的OpenSSL的伪随机数生成器安全。

Tripwire的安全研究专家Craig Young认为:“这个LibreSSL的缺陷显示了在类似OpenSSL这样复杂的代码库中创建一个分支的困难性。 这里LibreSSL的开发者也许没有充分意识到为什么需要特定函数(RAND_poll)对伪随机数生成器进行种子重置。”

Craig Young补充道:“尽管这段代码在LibreSSL的开发者看来也许无关紧要, Ayer的研究揭示了这其实与安全大有关系。 随机数生成器是SSL实现的重要部分。 因为它能够防止黑客通过猜解密钥来破解加密通信数据。”

Linux系统下, LibreSSL的这个缺陷会导致出现相同输出的概率高两倍或者更多。 鉴于此, OpenBSD已经发布了一个针对这个CVE-2014-2970的补丁, 并且声称, 已经在代码中进行了修正。

因此, 这个缺陷所造成的威胁并没有那么大, 因为LibreSSL并没有广泛应用, 对很多开发者来说, 首选的还是OpenSSL

“这就像可口可乐和百事可乐一样, 死忠的粉丝不会轻易换牌子。 ”安全研究专家Tyler Reguly说:“LibreSSL已经开始逐渐追上了。 这次的这个缺陷的暴露, 让人们看到了LibreSSL差距, LibreSSL社区还得加倍努力。 ”

尽管人们普遍认为这个缺陷并不意味着LibreSSL项目就会死了, 但是这么早就暴露了这样严重的缺陷对项目本身也绝不是好事。

 

最新动态

  • Win10退役倒计时!联软科技助力打造终端安全盾牌

  • 联软亮相2024高交会:以网络访问控制为核心 构建数字化时代的韧性网络

热门推荐