Поделиться
Россиянин нашел в шифровальщике для Linux «универсальный пароль» из одной буквы
В шифровальной утилите под Linux Debian 9 обнаружился «баг», который по факту приводит к установлению одинакового пароля для всех папок системы, причем из одной буквы.
Универсальная «p»
Российский программист Кирилл Тхай (Kirill Tkhai), работающий старшим инженером-программистом в компании Virtuozzo, обнаружил ошибку в популярном приложении для шифрования данных Cryptkeeper под дистрибутивом Linux Debian 9. Фактически из-за нее Cryptkeeper обзавелся универсальным паролем из одной буквы «p».
«Баг», по-видимому, связан с тем, что Cryptkeeper некорректно взаимодействует с командной строкой EncFS, криптографической файловой системы (на базе FUSE), которая и используется для шифрования. Cryptkeeper вызывает EncFS и пытается перейти в «параноидальный режим», имитируя нажатие клавиши «p». Однако из-за ошибки, эта буква устанавливается в качестве пароля для всех папок. «Это явно не должно так работать», — заметил Тхай.
Система EncFS недавно обновлялась, в то время как разработчики Cryptkeeper, похоже, забросили свое детище. Несовместимость и привела к такой серьезной ошибке.
Признать антисанитарным и никуда не годным
«Баг» отмечен только в нестабильной версии Stretch дистрибутива Debian 9. Им пользуется очень незначительное количество людей, но тем не менее ошибка рассматривается как критическая.
В обсуждении на bugs.debian.org прозвучали предложения выкинуть Cryptkeeper из дистрибутива вовсе. Как отметил разработчик Debian Саймон Маквитти (Simon McVittie), иллюзорное ощущение безопасности, которое создает Cryptkeeper, хуже, чем полное отсутствие шифрования. Пока что решено удалить Cryptkeeperтолько из нестабильной девятой версии.
В стабильной версии Debian 8 (Jessie, актуальная версия — 8.7) проблема отсутствует.
Короткая ссылка
