Пресс-релизы //

AppChecker’ом по Бляйхенбахеру

В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».

Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.

На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.

К уязвимости приводит следующий фрагмент кода:

function encrypt_data($data)
{
...
if (!openssl_public_encrypt($input,$encrypted,$key))
...
}

Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию - OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым [https://framework.zend.com/security/advisory/ZF2015-10] и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ.
Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.

«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» - прокомментировал волнующее известие профессор Алексей Сергеевич Марков.

Контактное лицо: Алеся Данилкович
Компания: АО "НПО "Эшелон"
Добавлен: 23:21, 01.04.2019 Количество просмотров: 297
Страна: Россия

HRlink подключил в платформе кадрового ЭДО 4,5 тыс. сотрудников сети аптек «Максавит», HRlink, 00:27, 09.05.2024, Россия391
Федеральная сеть аптек «Максавит» отказалась от бумаги в кадровом делопроизводстве (КДП) и подключила сотрудников к платформе для кадрового ЭДО HRlink.

Тюменский индустриальный университет начнет использовать платформу для транспортного моделирования RITM³ от SIMETRA, Simetra, 00:48, 08.05.2024, Россия288

ГК SIMETRA, центр компетенций в области моделирования транспортных потоков и транспортного планирования, подписала соглашение о сотрудничестве с Тюменским индустриальным университетом (ТИУ) – одним из ведущих вузов региона

В Адыгее спецучреждение оснастят системой видеоинформации, Адыгейское УФАС России, 00:46, 08.05.2024, Россия234

Выявлены нарушения при проведении аукциона спецучреждением в Адыгее

ГК Юзтех и Ассоциация «Нефтегазовый кластер» заключили соглашение о сотрудничестве, ГК Юзтех, 00:46, 08.05.2024, Россия163

ГК Юзтех объявляет о стратегическом партнерстве с Нефтегазовым межрегиональным кластером для совместного развития и внедрения инновационных технологий в нефтегазовой отрасли.

Nubes (НУБЕС) предоставил облако для TravelTech-платформы «Погнали!», Nubes, 00:44, 08.05.2024, Россия163

ИТ-компания «Погнали!» запустила свое решение в облаке нового поколения NGcloud. На облачных ресурсах Nubes разработчик развернул масштабную онлайн-платформу для любителей путешествовать по России, а для хранения большого объема данных подключил сервис объектного хранилища S3.

Студенты платформы OTUS изучат создание хранилищ данных на основе продуктов Arenadata, Arenadata, 00:43, 08.05.2024, Россия162

Образовательная онлайн-платформа OTUS запускает курс «DWH на основе Arenadata». Обучение поможет освоить базовые навыки для успешной работы на проектах по созданию и развитию хранилищ данных и систематизировать уже имеющиеся знания.

Nubes (НУБЕС) предоставил облако для TravelTech-платформы «Погнали!», Nubes, 00:41, 08.05.2024, Россия86

Hybrid открывает собственную школу обучения программатик - специалистов Hybrid AdOps School, Hybrid, 00:41, 08.05.2024, Россия72

Компания Hybrid, специализирующаяся на высокотехнологичных разработках в области интернет-рекламы, запустила собственную школу обучения Ad operation менеджеров. Инициатива направлена на молодых специалистов города Тамбова и позволит со временем ликвидировать дефицит профессионалов в сфере adtech.

Т1 запустил ИТ-лагерь для студентов, Холдинг Т1, 00:39, 08.05.2024, Россия85

Студентов со всей России организаторы соберут на очный буткемп, а лучшим — предложат присоединиться к команде холдинга

Прием заявок на конкурс «Голос жизни» продлевается, Альянс СОНКО, 00:36, 08.05.2024, Россия144

Оргкомитет I Международного творческого конкурса авторов контента в поддержку идеи радикального продления жизни людей «Вместе против старения: голос Жизни» объявляет о продлении сроков приёма творческих работ до сентября 2024 года.

Студенты СПбГАСУ будут учиться моделированию на цифровой платформе RITM³ компании SIMETRA, Simetra, 00:58, 06.05.2024, Россия267

ГК SIMETRA и Санкт-Петербургский государственный архитектурно-строительный университет (СПбГАСУ) заключили соглашение о сотрудничестве. В рамках соглашения SIMETRA поставила вузу академические лицензии на использование в образовательном процессе цифровой платформы RITM³.

HRlink повысил надежность работы сервиса кадрового ЭДО, HRlink, 00:58, 06.05.2024, Россия268

Архитектуру платформы кадрового электронного документооборота (ЭДО) HRlink адаптировали к существенному росту количества пользователей. Кроме того, в 2024 году HRlink первой на рынке решений для безбумажного КДП занялась подключением второго удостоверяющего центра для электронных подписей.

Компания PMP Tech заняла второе место на премии Workspace Digital Awards, PMP Tech, 00:56, 06.05.2024, Россия326

PMP Tech, ведущая IT-компания из Петербурга, заняла второе место на независимой премии Workspace Digital Awards. Компания выдвинулась с кейсом "Мобильное приложение Брелок” в номинации "Недвижимость и строительство" в категории "Мобильные приложения".

В Санкт-Петербурге программные роботы оптимизировали работу Комитета по тарифам, itrend, 00:49, 06.05.2024, Россия248

Комитет по тарифам Санкт-Петербурга оптимизировал ряд своих рабочих процессов за счёт внедрения трех программных роботов. Проект реализовали специалисты Санкт‑Петербургского информационно-аналитического центра.

Efros Defence Operations начал серию совместимостей с оборудования D-Link, Газинформсервис, 00:43, 06.05.2024, Россия93

Специалисты компаний «Газинформсервис» и ООО «Д-Линк Трейд» успешно завершили технические испытания совместимости. Испытания подтвердили корректность функционирования комплекса по защите ИТ-инфраструктуры Efros DefOps с оборудования D-Link серий DGS-1210-XX, DGS-1210-XX/ME, DGS-3130-XX, DGS-3630-XX, DXS-3610-XX.