:quality(80)/images.vogel.de/vogelonline/bdb/1784500/1784560/original.jpg "Das Prüfen der Bereitstellung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783400/1783406/original.jpg "Die Linux Foundation fördert, unterstützt und finanziert quelloffene IT-Projekte innerhalb des Linux-Universums.")
:quality(80)/images.vogel.de/vogelonline/bdb/1781400/1781402/original.jpg "Fluss eines typischen Vor-Ort-Deployments mit AWS CodeDeploy.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783400/1783464/original.jpg "Beim Software Testing gibt es noch viel Optimierungspotenzial, mit 20 Prozent des Aufwands lassen sich 80 Prozent des Risikos abdecken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785000/1785070/original.jpg "Aktuelle SAST-Tools beziehen den Entwickler bei der Schwachstellensuche besser mit ein.")
:quality(80)/images.vogel.de/vogelonline/bdb/1781600/1781675/original.jpg "Für die Leistungsfähigkeit von Künstlicher Intelligenz und Machine Learning ist eine gute Software unerlässlich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784100/1784134/original.jpg "Die Website Dev-Insider als rudimentäre Progressive Web App.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784200/1784224/original.jpg "Nach Auffassung von Mendix könnte Low Code der Digitalisierung auch 2021 weiter auf die Sprünge helfen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1778300/1778370/original.jpg "Google Lighthouse zeigt umfassende Berichte bei der Messung von Webseiten an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785200/1785258/original.jpg "Import von Daten über die Registerkarte „Environment“.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783600/1783661/original.jpg "Der GitHub Education Classroom Report untersucht, welche Tools und Wünsche bei Studierenden verbreitet sind.")
:quality(80)/images.vogel.de/vogelonline/bdb/1779000/1779040/original.jpg "Spring Data bietet für Datenbank-Abfragen verschiedene Möglichkeiten, die wir in diesem Beitrag vorstellen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784600/1784699/original.jpg "Die Überwachung und Absicherung von Containern und Microservices ist ein dringendes Anliegen, dem Unternehmen in diesem Jahr nachkommen sollten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1775300/1775322/original.jpg "WinGet soll künftig einen einfachen Weg bieten, Software-Pakete für Windows zu schnüren und zu verteilen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1786000/1786033/original.jpg "Als vollständig verwaltete PaaS-Lösung soll Engine Yard Kontainers dabei helfen, Anwendungen in die Cloud zu überführen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785700/1785706/original.jpg "Gute Sotware wird mit Blick auf KI und Personalmanagement wichtiger, die Develpoment-Kapazitäten gehen aber zurück.")
:quality(80)/images.vogel.de/vogelonline/bdb/1780400/1780449/original.jpg "An FLOSS-Projekten kann man sich auf ganz unterschiedliche Weise als Contributor beteiligen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1772900/1772994/original.jpg "Data Privacy ist ein hohes Gut, das idealerweise bereits beim Design einer Software oder eines Services mitgedacht wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
OpenBSDBcrypt-Klasse erlaubt Passwort-Umgehung Fehlerhafte Hash-Prüfung von Bouncy Castle
Forscher des Synopsys Cybersecurity Research Center, kurz CyrC, haben eine Schwachstelle in der OpenBSDBcrypt-Klasse von Bouncy Castle gemeldet. Passwort-Prüfungen lassen sich darüber durch Angreifer umgehen.
Firmen zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134300/134361/65.jpg "ConSol Logo dev-insider.jpg")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png")
(© sasun Bughdaryan - stock.adobe.com)
In der „Common Vulnerabilities and Exposures“ findet sich ein Eintrag mit der Kennung CVE-2020-28052. Die darin gelistete Schwachstelle wurde von Synopsys entdeckt und betrifft die verbreitete Java-Kryptographie-Bibliothek Bouncy Castle, genauer gesagt die darin definierte OpenBSDBcrypt-Klasse. Diese implementiert den Bcrypt-Algorithmus für das Passwort-Hashing.
Das Problem wird durch eine fehlerhafte Prüfroutine in der Methode OpenBSDBcrypt.doCheckPassword verursacht. Der Code nutzt für die Prüfung eine indexOf()-Methode anstatt zu verifizieren, ob die Hashes wirklich Zeichen für Zeichen übereinstimmen. Eine Byte-für-Byte-Übereinstimmung wird nicht benötigt. Ein Angreifer muss Passwort-Eingaben nur so lange „brute-forcen“, bis der Bypass ausgelöst wird.
„Unsere Experimente zeigen, dass 20 Prozent der getesteten Passwörter innerhalb von 1.000 Versuchen erfolgreich umgangen wurden“, berichtet Synopsys. Einige Passwort-Hashes benötigten mehr Versuche, letztlich ließen sich aber alle Passwort-Abfragen mit genügend Versuchen täuschen. In seltenen Fällen war es sogar möglich, die Kennwort-Prüfung mit beliebigen Eingaben zu umgehen.
Betroffen sind die Bouncy-Castle-Versionen 1.66 und 1.65, frühere Versionen hingegen nicht. In Bouncy Castle 1.67 wurde das Problem behoben. Da Bouncy Castle eine Software-Bibliothek ist, die sich beliebig für Authentifizierungsprüfungen zum Beispiel in Webanwendungen und APIs einbinden lässt, fällt die CVSS-Risikobewertung mit 8.1 Punkten recht hoch aus.
Software-Anbieter und Entwickler, die die Bibliothek nutzen, sollten möglichst schnell auf das Release Bouncy Castle 1.67 oder später umstellen. Weitere Informationen zu der Schwachstelle finden sich auch bei Synopsys.
(ID:47045325)
:quality(80)/images.vogel.de/vogelonline/bdb/1571300/1571327/original.jpg "Für unser Hacking-Beispiel legen wir einen neuen Nutzer in der Gnome-Nutzerverwaltung an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1573200/1573263/original.jpg "Den Salt-Teil der crypt-Funktion übergeben wir explizit als Parameter.")