Socat漏洞显示,Crypto后域可能很难发现
发布时间:2022-04-13 11:16:44 所属栏目:要闻 来源:互联网
导读:SoCAT网络工具的开发人员已经修复了一个加密漏洞,即离开通信以窃听超过一年。错误是如此严重,安全社区的成员认为它可能是一个有意的后门。 SoCAT是一个更复杂,更丰富的NetCAT的重新实现,这是一个跨平台网络服务,可以在不同的端口和协议上建立出站和入站
|
SoCAT网络工具的开发人员已经修复了一个加密漏洞,即离开通信以窃听超过一年。错误是如此严重,安全社区的成员认为它可能是一个有意的后门。 SoCAT是一个更复杂,更丰富的NetCAT的重新实现,这是一个跨平台网络服务,可以在不同的端口和协议上建立出站和入站连接。它也是网络调试的流行工具。 “使用这些参数的关键交流的有效加密强度比使用素数P的人更弱,”SoCat开发人员在咨询中表示。“此外,由于没有指示如何选择这些参数,因此陷阱可以从使用它们无法排除使用它们的关键交换恢复共享秘密的Trapdoor。” 将非Prime参数添加到由名为Zhigang Wang的开发人员提交的2015年1月修补程序,并由SoCAT开发人员接受。基于补丁评论,Zhigang希望将工具不遵守联邦信息处理标准(FIPS),该标准(FIP)需要使用1024位DH参数。当时,SoCat正在使用512位DH素数。 无论缺陷是否故意,它的存在确实突出了在没有维护人员注意到的情况下可以将加密后门引入的容易性。检查1024位数是否是素数是可行的,但并不完全直接。并且由于这不是变化的东西,通常开发人员不会为其添加自动检查。 随机数生成器也是加密系统的关键组件,如果没有正确实现,可以在许多项目中找到弱随机数生成器可以打开所谓的加密。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号