forum.opennet.ru

Составление сообщения

Исходное сообщение

"Аудит VeraCrypt выявил 8 критических уязвимостей"
Отправлено opennews, 17-Окт-16 21:53

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал (https://ostif.org/the-veracrypt-audit-results/) результаты аудита безопасности проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит выполнен компанией QuarksLab на средства, пожертвованные проектами  DuckDuckGo и VikingVPN. В результате проверки обнаружено (https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit... 36 уязвимостей, из которых 8 получили статус критических, 3 отнесены к категории умеренных и 15 отмечены как незначительные.  Большинство проблем затрагивают  UEFI-загрузчик VeraCrypt.

Одновременно сформирован релиз VeraCrypt 1.19 (https://veracrypt.codeplex.com/releases/view/629329), в котором устранено большинство проблемы, выявленных в процессе аудита. Исправления в VeraCrypt 1.19:

-  Полное удаление поддержки шифрования с использованием отечественного алгоритма GOST 28147-89 (https://ru.wikipedia.org/wiki/%D0%93%D0%... так как применяемая в VeraCrypt реализация алгоритма отмечена как небезопасная. Поддержка расшифровки оставлена, но создать новые разделы с шифрованием  GOST 28147-89  теперь не получится;
-  Удалены XZip и XUnzip, которые заменены на более современную и защищённую библиотеку libzip;
-  Устранена уязвимость, позволяющая определить длину пароля в классическом загрузчике;
-  Устранена уязвимость, связанная с оставлением неочищенным буфера ввода после аутентификации в новом загрузчике;
-  Устранена уязвимость, связанная с отсутствием корректной очистки конфиденциальных данных в новом загрузчике;
-  Устранена уязвимость в новом загрузчике, которая может привести к повреждению содержимого памяти;
-  Устранена серия уязвимостей, связанных с разыменованием нулевого указателя в графической библиотеке, а также проблемами в функциях ConfigRead и EFIGetHandles.

URL: https://ostif.org/the-veracrypt-audit-results/
Новость: http://www.opennet.ru/opennews/art.shtml?num=45333

Исходное сообщение
"Аудит VeraCrypt выявил 8 критических уязвимостей" Отправлено opennews, 17-Окт-16 21:53
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал (https://ostif.org/the-veracrypt-audit-results/) результаты аудита безопасности проекта VeraCrypt (https://veracrypt.codeplex.com/), в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит выполнен компанией QuarksLab на средства, пожертвованные проектами DuckDuckGo и VikingVPN. В результате проверки обнаружено (https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit... 36 уязвимостей, из которых 8 получили статус критических, 3 отнесены к категории умеренных и 15 отмечены как незначительные. Большинство проблем затрагивают UEFI-загрузчик VeraCrypt. Одновременно сформирован релиз VeraCrypt 1.19 (https://veracrypt.codeplex.com/releases/view/629329), в котором устранено большинство проблемы, выявленных в процессе аудита. Исправления в VeraCrypt 1.19: - Полное удаление поддержки шифрования с использованием отечественного алгоритма GOST 28147-89 (https://ru.wikipedia.org/wiki/%D0%93%D0%... так как применяемая в VeraCrypt реализация алгоритма отмечена как небезопасная. Поддержка расшифровки оставлена, но создать новые разделы с шифрованием GOST 28147-89 теперь не получится; - Удалены XZip и XUnzip, которые заменены на более современную и защищённую библиотеку libzip; - Устранена уязвимость, позволяющая определить длину пароля в классическом загрузчике; - Устранена уязвимость, связанная с оставлением неочищенным буфера ввода после аутентификации в новом загрузчике; - Устранена уязвимость, связанная с отсутствием корректной очистки конфиденциальных данных в новом загрузчике; - Устранена уязвимость в новом загрузчике, которая может привести к повреждению содержимого памяти; - Устранена серия уязвимостей, связанных с разыменованием нулевого указателя в графической библиотеке, а также проблемами в функциях ConfigRead и EFIGetHandles. URL: https://ostif.org/the-veracrypt-audit-results/ Новость: http://www.opennet.ru/opennews/art.shtml?num=45333

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости 
> открытых проектов, опубликовал (https://ostif.org/the-veracrypt-audit-results/) 
> результаты аудита безопасности проекта VeraCrypt (https://veracrypt.codeplex.com/), 
> в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит 
> выполнен компанией QuarksLab на средства, пожертвованные проектами  DuckDuckGo и VikingVPN. 
> В результате проверки обнаружено (https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf) 
> 36 уязвимостей, из которых 8 получили статус критических, 3 отнесены к 
> категории умеренных и 15 отмечены как незначительные.  Большинство проблем затрагивают 
>  UEFI-загрузчик VeraCrypt.

> Одновременно сформирован релиз VeraCrypt 1.19 (https://veracrypt.codeplex.com/releases/view/629329), 
> в котором устранено большинство проблемы, выявленных в процессе аудита. Исправления в 
> VeraCrypt 1.19:

> -  Полное удаление поддержки шифрования с использованием отечественного алгоритма GOST 
> 28147-89 (https://ru.wikipedia.org/wiki/%D0%93%D0%9E%D0%A1%D0%A2_28147-89), так 
> как применяемая в VeraCrypt реализация алгоритма отмечена как небезопасная. Поддержка 
> расшифровки оставлена, но создать новые разделы с шифрованием  GOST 28147-89 
>  теперь не получится;

> -  Удалены XZip и XUnzip, которые заменены на более современную и 
> защищённую библиотеку libzip; 
> -  Устранена уязвимость, позволяющая определить длину пароля в классическом загрузчике; 
 
> -  Устранена уязвимость, связанная с оставлением неочищенным буфера ввода после аутентификации 
> в новом загрузчике;

> -  Устранена уязвимость, связанная с отсутствием корректной очистки конфиденциальных данных 
> в новом загрузчике;

> -  Устранена уязвимость в новом загрузчике, которая может привести к повреждению 
> содержимого памяти;

> -  Устранена серия уязвимостей, связанных с разыменованием нулевого указателя в графической 
> библиотеке, а также проблемами в функциях ConfigRead и EFIGetHandles.

> URL: https://ostif.org/the-veracrypt-audit-results/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45333

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру