Репозитории SVN стали первыми жертвами атаки SHAttered
Спустя всего день после публикации подробностей об успешном поиске коллизий хеш-функций SHA-1 появилась первая жертва описанной в докладе атаки. Один из разработчиков WebKit решил проверить, как движок справится с коллизиями, и в результате вывел из строя весь репозиторий исходного кода Subversion (SVN). Проблема была впервые обнаружена в WebKit SVN, однако затрагивает не только этот движок, но и все остальные реализации Subversion.
Напомним, на прошлой неделе команда исследователей Google и Центра математики и информатики в Амстердаме опубликовали доклад об осуществлении первой в мире успешной атаки поиска коллизий хеш-функций SHA-1, получившей название SHAttered. В качестве примера эксперты продемонстрировали два файла в формате PDF с одинаковым хешем SHA-1 , но с совершенно разным содержимым.
С целью проверить, как WebKit справится с коллизиями хеш-функций SHA-1, один из инженеров WebKit добавил в исходный код движка набор тестовых данных. Исследователь загрузил упомянутые выше PDF-файлы, и как только загрузка была завершена, два идентичных хеша вызвали сбой в SVN, в результате чего репозиторий перестал принимать какой-либо новый исходный код.
Инженер удалил загруженные PDF-файлы, однако репозиторий по-прежнему не работал. Более того, SVN больше не синхронизировался с зеркальными репозиториями, и в течение нескольких часов команда WebKit не знала, как справиться с проблемой. В итоге решение было найдено, но разработчики раз и навсегда отказались интегрировать со своим ПО систему для обнаружения коллизий хеш-функций SHA-1.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш