Недостаточная энтропия в FreeBSD

Дата публикации:
26.11.2008
Дата изменения:
26.11.2008
Всего просмотров:
3427
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FreeBSD 6.3
FreeBSD 6.4
FreeBSD 7.0
Уязвимые версии: FreeBSD 6.3, .64, 7.0, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести бурт-форс атаку.

Уязвимость существует из-за того, что функция "arc4random()" использует ненадежные источники энтропии на протяжении 300 секунд после старта системы. Уязвимость влияет на приложения и процессы, которые полагаются на безопасность "arc4random()" (например, создание IV для WEP, создание идентификаторов IP пакетов, идентификаторов RPC транзакций ядра и в GEOM ELI и GEOM shsec провйдерах).

URL производителя: www.freebsd.org

Решение: Установите исправление с сайта производителя.

FreeBSD 6.x:
http://security.FreeBSD.org/patches/SA-08:11/arc4random6x.patch

FreeBSD 7.x:
fetch http://security.FreeBSD.org/patches/SA-08:11/arc4random.patch

Ссылки: FreeBSD-SA-08:11.arc4random: arc4random(9) predictable sequence vulnerability

или введите имя

CAPTCHA