LibreSSL修复伪随机数生成器漏洞

LibreSSL修复了被曝光的伪随机数生成器漏洞。漏洞发现者是安全备份公司Opsmate的创始人Andrew Ayer,他将漏洞称为是“伪随机数生成器的致命缺陷”,因为它赋予父进程和克隆子进程相同的识别码(16位PID,PID是进程识别码的缩写),他的测试程序在两次调用伪随机数生成器后返回了相同的结果。

OpenBSD创始人Theo de Raadt和开发者Bob Beck对此不以为然,认为问题的严重程度被过分渲染了,理由是Ayer的测试程序没有现实意义,bug只在他的程序里呈现,真正的程序不会像Ayer描述的那样工作,相同的进程识别码问题在真正的软件很难成为真正的问题。但不是所有人都认同他们的观点。

替代者暂时没有做到更好,LibreSSL的伪随机生成器不安全

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/bd9c8caaffe393303393f762bf8facb5.html