:quality(80)/images.vogel.de/vogelonline/bdb/1866300/1866353/original.jpg "Die McCabe-Metrik bemisst anhand der Knotenpunkte und Kanten im Kontrollflussgraphen die Komplexität eines Software-Moduls.")
:quality(80)/images.vogel.de/vogelonline/bdb/1862900/1862950/original.jpg "Software Reengineering beeinflusst große Teile einer Anwendung bis hin zum gesamten System, da vieles komplett neu aufgelegt wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1861300/1861359/original.jpg "Beim Code Refactoring wird der Quellcode bereinigt, ergänzt und mitunter auch weiter kommentiert, um ihn qualitativ aufzuwerten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883986/original.jpg "Häuft ein Entwickler allein alles Wissen über eine Anwendung an, stehen seine Nachfolger mitunter vor einem großen Fragezeichen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1883300/1883368/original.jpg "In der 13. Ausgabe des World Quality Reports attestiert Capgemini der Qualitätssicherung eine durchweg positive Entwicklung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1884600/1884614/original.jpg "Alles, was Sie zu API Sicherheit wissen müssen – ein Interview von Oliver Schonschek, Insider Research, mit Tom Zaubermann von Checkmarx.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885924/original.jpg "Im Cloud-nativen Kontext wird das Netzwerk durch eine Reihe von Mikroverbindungen innerhalb von Anwendungen definiert-")
:quality(80)/images.vogel.de/vogelonline/bdb/1871000/1871074/original.jpg "Tekton bietet im Continuous-Integration- und -Delivery-Kontext flexible Einsatzgebiete und einfache Möglichkeiten der Bereitstellung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885300/1885397/original.jpg "Linda Früh treibt als Chief Digital Officer die digitale und IT-Transformation der Advanzia Bank voran.")
:quality(80)/images.vogel.de/vogelonline/bdb/1889200/1889283/original.jpg "Schematische Darstellung der Zusammenarbeit von Airlock Gateway und einem Microgateway.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885957/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885953/original.jpg "Das Ausspionieren lauert immer und überall und ist dennoch nur eine der Gefahren im Cyberspace. Wer nur die Einfallstore im Netzwerk schützt, lässt viel größere Angriffsflächen ungesichert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885934/original.jpg "Logische Programmiersprachen wie Logica lösen die Probleme von SQL, indem sie die Syntax der mathematischen Aussagenlogik und nicht die natürliche englische Sprache verwenden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885927/original.jpg "Bamboolib von 8080 Labs ist eine Python-basierte Lösung zur Datenanalyse.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
OpenBSDBcrypt-Klasse erlaubt Passwort-Umgehung Fehlerhafte Hash-Prüfung von Bouncy Castle
Forscher des Synopsys Cybersecurity Research Center, kurz CyrC, haben eine Schwachstelle in der OpenBSDBcrypt-Klasse von Bouncy Castle gemeldet. Passwort-Prüfungen lassen sich darüber durch Angreifer umgehen.
Firmen zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134300/134361/65.jpg "ConSol Logo dev-insider.jpg")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png")
(© sasun Bughdaryan - stock.adobe.com)
In der „Common Vulnerabilities and Exposures“ findet sich ein Eintrag mit der Kennung CVE-2020-28052. Die darin gelistete Schwachstelle wurde von Synopsys entdeckt und betrifft die verbreitete Java-Kryptographie-Bibliothek Bouncy Castle, genauer gesagt die darin definierte OpenBSDBcrypt-Klasse. Diese implementiert den Bcrypt-Algorithmus für das Passwort-Hashing.
Das Problem wird durch eine fehlerhafte Prüfroutine in der Methode OpenBSDBcrypt.doCheckPassword verursacht. Der Code nutzt für die Prüfung eine indexOf()-Methode anstatt zu verifizieren, ob die Hashes wirklich Zeichen für Zeichen übereinstimmen. Eine Byte-für-Byte-Übereinstimmung wird nicht benötigt. Ein Angreifer muss Passwort-Eingaben nur so lange „brute-forcen“, bis der Bypass ausgelöst wird.
„Unsere Experimente zeigen, dass 20 Prozent der getesteten Passwörter innerhalb von 1.000 Versuchen erfolgreich umgangen wurden“, berichtet Synopsys. Einige Passwort-Hashes benötigten mehr Versuche, letztlich ließen sich aber alle Passwort-Abfragen mit genügend Versuchen täuschen. In seltenen Fällen war es sogar möglich, die Kennwort-Prüfung mit beliebigen Eingaben zu umgehen.
Betroffen sind die Bouncy-Castle-Versionen 1.66 und 1.65, frühere Versionen hingegen nicht. In Bouncy Castle 1.67 wurde das Problem behoben. Da Bouncy Castle eine Software-Bibliothek ist, die sich beliebig für Authentifizierungsprüfungen zum Beispiel in Webanwendungen und APIs einbinden lässt, fällt die CVSS-Risikobewertung mit 8.1 Punkten recht hoch aus.
Software-Anbieter und Entwickler, die die Bibliothek nutzen, sollten möglichst schnell auf das Release Bouncy Castle 1.67 oder später umstellen. Weitere Informationen zu der Schwachstelle finden sich auch bei Synopsys.
(ID:47045325)
:quality(80)/images.vogel.de/vogelonline/bdb/1571300/1571327/original.jpg "Für unser Hacking-Beispiel legen wir einen neuen Nutzer in der Gnome-Nutzerverwaltung an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1573200/1573263/original.jpg "Den Salt-Teil der crypt-Funktion übergeben wir explizit als Parameter.")