Security Lab

Недостаточная энтропия в FreeBSD

Дата публикации:26.11.2008
Всего просмотров:3882
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Брут-форс атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FreeBSD 6.3
FreeBSD 6.4
FreeBSD 7.0
Уязвимые версии: FreeBSD 6.3, .64, 7.0, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести бурт-форс атаку.

Уязвимость существует из-за того, что функция "arc4random()" использует ненадежные источники энтропии на протяжении 300 секунд после старта системы. Уязвимость влияет на приложения и процессы, которые полагаются на безопасность "arc4random()" (например, создание IV для WEP, создание идентификаторов IP пакетов, идентификаторов RPC транзакций ядра и в GEOM ELI и GEOM shsec провйдерах).

URL производителя: www.freebsd.org

Решение: Установите исправление с сайта производителя.

FreeBSD 6.x:
http://security.FreeBSD.org/patches/SA-08:11/arc4random6x.patch

FreeBSD 7.x:
fetch http://security.FreeBSD.org/patches/SA-08:11/arc4random.patch

Ссылки: FreeBSD-SA-08:11.arc4random: arc4random(9) predictable sequence vulnerability