:quality(80)/images.vogel.de/vogelonline/bdb/1919300/1919349/original.jpg "Im Lebenszyklus einer Software steht die Anforderungsanalyse an erster Stelle.")
-
Specials
/cdn4.vogel.de/infinity/white.jpg "Im Lebenszyklus einer Software steht die Anforderungsanalyse an erster Stelle.")
-
Development
Das JavaScript-Framework Vue.js, Teil 1
-
DevOps
-
Cloud Native
-
Management
Software-Modernisierung, Teil 1
-
Solution Stack
Das JavaScript-Framework Vue.js, Teil 1
-
Technologien
Mehrwerte in allen Phasen der industriellen Wertschöpfungskette
-
IT Awards
- News
- eBooks
- Mediathek
- CIO Briefing
- Forum
- Akademie
:quality(80)/images.vogel.de/vogelonline/bdb/1916900/1916985/original.jpg "Developer Previews sind dazu gedacht, neue Features und das Zusammenspiel mit anderer Software sowie Plug-ins zu testen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1909500/1909582/original.jpg "Übersicht über die verwendeten Komponenten und Zuständigkeiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919100/1919187/original.jpg "Plug-ins sind ein großer Vorteil des Wordpress-CMS‘, können sich in Sachen Performance aber schlecht auf Suchmaschinen-Bewertungen auswirken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1911600/1911677/original.jpg "Als Teil der Options-API von Vue.js dient die data-Funktion dazu, Eigenschaften für den späteren Abruf zu hinterlegen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919700/1919756/original.jpg "2022 wird ganz im Zeichen von Konsolidierungen und der Transformation ganzer Branchen stehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919700/1919749/original.jpg "DevSecOps-Praktiken können einen wichtigen Bestandteil zur Unternehmenssicherheit darstellen – wollen Unternehmen entsprechende Prozesse einführen, hilft eine Reifegradbestimmung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1911000/1911009/original.jpg "Cloud Native ist eine dynamische Vision mit neuen Tools und Praktiken, die kontinuierlich entwickelt und erweitert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919700/1919753/original.jpg "Cloud-native Entwicklung ist auf den ersten Blick hilfreich und bequem – kann aber langfristig betrachtet zu Problemen führen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919600/1919692/original.jpg "Ein Überblick über die Möglichkeiten des extended Berkeley Packet Filter.")
:quality(80)/images.vogel.de/vogelonline/bdb/1920300/1920355/original.jpg "Nadine Riederer, CEO Avision: „Beim Einsatz neuer Technologien zur Modernisierung von Altsoftware raten wir zu Augenmaß.“")
:quality(80)/images.vogel.de/vogelonline/bdb/1908400/1908424/original.jpg "In Unternehmen empfiehlt es sich, den Nutzen obsoleter Systeme – ob Hardware oder Software – immer wieder zu evaluieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1915900/1915998/original.jpg "Wie in anderen Bereichen lösen Unternehmen auch bei der Datenverwaltung vermehrt proprietäre Technologien durch Open-Source-Lösungen ab.")
:quality(80)/images.vogel.de/vogelonline/bdb/1908900/1908962/original.jpg "Beim Design von APIs lauern einige Fallstricke.")
:quality(80)/images.vogel.de/vogelonline/bdb/1919800/1919825/original.jpg "Krypto-Anleger müssen zeitaufwändige und schwierige Aufgaben wie die Recherche und Risikoanalyse selbst in die Hand nehmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1912100/1912195/original.jpg "Teams und Fachbereiche kennen ihre eigenen Schmerzpunkte genau – da liegt es nahe, dass sie eigene Apps und Lösungen entwickeln.")
:quality(80)/images.vogel.de/vogelonline/bdb/1912100/1912130/original.jpg "Blockchain-Technologien ermöglichen im industriellen Umfeld völlig neue Fertigungs- und Vertriebsgeschäftsmodelle.")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
OpenBSDBcrypt-Klasse erlaubt Passwort-Umgehung Fehlerhafte Hash-Prüfung von Bouncy Castle
Forscher des Synopsys Cybersecurity Research Center, kurz CyrC, haben eine Schwachstelle in der OpenBSDBcrypt-Klasse von Bouncy Castle gemeldet. Passwort-Prüfungen lassen sich darüber durch Angreifer umgehen.
Firmen zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134300/134361/65.jpg "ConSol Logo dev-insider.jpg")
(© sasun Bughdaryan - stock.adobe.com)
In der „Common Vulnerabilities and Exposures“ findet sich ein Eintrag mit der Kennung CVE-2020-28052. Die darin gelistete Schwachstelle wurde von Synopsys entdeckt und betrifft die verbreitete Java-Kryptographie-Bibliothek Bouncy Castle, genauer gesagt die darin definierte OpenBSDBcrypt-Klasse. Diese implementiert den Bcrypt-Algorithmus für das Passwort-Hashing.
Das Problem wird durch eine fehlerhafte Prüfroutine in der Methode OpenBSDBcrypt.doCheckPassword verursacht. Der Code nutzt für die Prüfung eine indexOf()-Methode anstatt zu verifizieren, ob die Hashes wirklich Zeichen für Zeichen übereinstimmen. Eine Byte-für-Byte-Übereinstimmung wird nicht benötigt. Ein Angreifer muss Passwort-Eingaben nur so lange „brute-forcen“, bis der Bypass ausgelöst wird.
„Unsere Experimente zeigen, dass 20 Prozent der getesteten Passwörter innerhalb von 1.000 Versuchen erfolgreich umgangen wurden“, berichtet Synopsys. Einige Passwort-Hashes benötigten mehr Versuche, letztlich ließen sich aber alle Passwort-Abfragen mit genügend Versuchen täuschen. In seltenen Fällen war es sogar möglich, die Kennwort-Prüfung mit beliebigen Eingaben zu umgehen.
Betroffen sind die Bouncy-Castle-Versionen 1.66 und 1.65, frühere Versionen hingegen nicht. In Bouncy Castle 1.67 wurde das Problem behoben. Da Bouncy Castle eine Software-Bibliothek ist, die sich beliebig für Authentifizierungsprüfungen zum Beispiel in Webanwendungen und APIs einbinden lässt, fällt die CVSS-Risikobewertung mit 8.1 Punkten recht hoch aus.
Software-Anbieter und Entwickler, die die Bibliothek nutzen, sollten möglichst schnell auf das Release Bouncy Castle 1.67 oder später umstellen. Weitere Informationen zu der Schwachstelle finden sich auch bei Synopsys.
(ID:47045325)
:quality(80)/images.vogel.de/vogelonline/bdb/1571300/1571327/original.jpg "Für unser Hacking-Beispiel legen wir einen neuen Nutzer in der Gnome-Nutzerverwaltung an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1573200/1573263/original.jpg "Den Salt-Teil der crypt-Funktion übergeben wir explizit als Parameter.")