Раcкрытие нажатых клавиш в Unix/Linux системах

Дата публикации:
19.08.2003
Всего просмотров:
965
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Недостаток обнаружен в пуле энтропии, осуществленном в /dev/random устройстве на множестве UNIX системах. Атакующий способен раскрыть нажатие клавиш пользователя (например, при вводе пароля).

Обнаружено, что низкопривилегированный пользователь может раскрыть нажатия клавиш на консоли, которые являются источником для отбора пула энтропии. Это возможно из-за использования предсказуемых последовательностей синхронизации. Освобождая /dev/random, и затем рассчитывая время, когда данные становятся доступными, атакующий может точно определить, какие события происходят в этих интервалах. Подробности смотрите в источнике сообщения.

Уязвимость обнаружена в FreeBSD 2.2-5.1, Linux kernel 2.0-2.4.20, NetBSD 1.0-1.6.1, OpenBSD 2.0-3.3

Ссылки: unix entropy source can be used for keystroke timing attacks

или введите имя

CAPTCHA