கிரிப்ட்செட்டப்பில் உள்ள பாதிப்பு LUKS2 பகிர்வுகளில் குறியாக்கத்தை முடக்க அனுமதித்தது

சமீபத்தில் செய்தி அதை உடைத்தது ஒரு பாதிப்பு அடையாளம் காணப்பட்டது (ஏற்கனவே CVE-2021-4122 இன் கீழ் பட்டியலிடப்பட்டுள்ளது) Cryptsetup தொகுப்பில், இது Linux இல் வட்டு பகிர்வுகளை குறியாக்க பயன்படுகிறது.

என்று குறிப்பிடப்பட்டுள்ளது பாதிப்பைப் பயன்படுத்த, தாக்குபவர் உடல் அணுகலைப் பெற்றிருக்க வேண்டும் மறைகுறியாக்கப்பட்ட ஊடகத்திற்கு, அதாவது, இந்த முறை முக்கியமாக மறைகுறியாக்கப்பட்ட வெளிப்புற இயக்கிகளைத் தாக்குவதற்கு அர்த்தமுள்ளதாக இருக்கிறது, ஃபிளாஷ் டிரைவ்கள் போன்றவை, தாக்குபவருக்கு அணுகல் உள்ளது, ஆனால் தரவை மறைகுறியாக்க கடவுச்சொல் தெரியாது.

தாக்குதல் இது LUKS2 வடிவமைப்பிற்கு மட்டுமே பொருந்தும் மற்றும் மெட்டாடேட்டா கையாளுதலுடன் தொடர்புடையது தேவைப்பட்டால், அணுகல் விசையை மாற்ற, பகிர்வுடன் வேலை செய்வதை நிறுத்தாமல், தரவு மறுமறைகுறியாக்க செயல்முறையைத் தொடங்க அனுமதிக்கும் «ஆன்லைன் மறுமறைகுறியாக்கம்» நீட்டிப்பை செயல்படுத்துவதற்கு பொறுப்பு.

ஒரு புதிய விசையுடன் மறைகுறியாக்கம் மற்றும் குறியாக்கம் செயல்முறை நீண்ட நேரம் எடுக்கும் என்பதால், "ஆன்லைன் மறுமறைகுறியாக்கம்" பகிர்வுடன் வேலையில் குறுக்கிடாமல் மற்றும் பின்னணியில் மறு-குறியாக்கத்தை அனுமதிக்கிறது, படிப்படியாக ஒரு விசையிலிருந்து மற்றொரு விசைக்கு தரவை மாற்றுகிறது. குறிப்பாக, ஒரு வெற்று இலக்கு விசையைத் தேர்ந்தெடுக்க முடியும், இது பிரிவை மறைகுறியாக்கப்பட்ட வடிவத்தில் மொழிபெயர்க்க உங்களை அனுமதிக்கிறது.

தாக்குபவர் LUKS2 மெட்டாடேட்டாவில் மாற்றங்களைச் செய்யலாம், இது ஒரு தோல்வியின் விளைவாக மறைகுறியாக்க செயல்பாட்டின் செயலிழப்பை உருவகப்படுத்துகிறது மற்றும் உரிமையாளரால் மாற்றியமைக்கப்பட்ட இயக்ககத்தை செயல்படுத்தி பயன்படுத்திய பிறகு பகிர்வின் ஒரு பகுதியை மறைகுறியாக்க முடியும். இந்த வழக்கில், மாற்றியமைக்கப்பட்ட இயக்ககத்தை இணைத்து சரியான கடவுச்சொல்லுடன் திறக்கும் பயனர் குறுக்கீடு செய்யப்பட்ட மறு-குறியாக்க செயல்பாட்டை மீட்டெடுப்பது குறித்து எந்த எச்சரிக்கையையும் பெறவில்லை, மேலும் இந்த செயல்பாட்டின் முன்னேற்றத்தை "luks Dump" கட்டளை மூலம் மட்டுமே கண்டறிய முடியும். . தாக்குபவர் டிக்ரிப்ட் செய்யக்கூடிய தரவின் அளவு LUKS2 தலைப்பின் அளவைப் பொறுத்தது, ஆனால் இயல்புநிலை அளவு (16 MiB) உடன் அது 3 GB ஐ விட அதிகமாக இருக்கும்.

பிரச்சனை மறு-குறியாக்க செயல்பாட்டிற்கு கணக்கீடு தேவைப்பட்டாலும் உண்மையில் இருந்து உருவாகிறது மற்றும் புதிய மற்றும் பழைய விசைகளின் ஹாஷ்களின் சரிபார்ப்பு, புதிய நிலை குறியாக்கத்திற்கான விசை இல்லாததைக் குறிக்கிறது என்றால் குறுக்கீடு செய்யப்பட்ட மறைகுறியாக்க செயல்முறையை மீட்டெடுக்க ஹாஷ் தேவையில்லை (எளிமையான உரை).

கூடுதலாக, குறியாக்க அல்காரிதம் குறிப்பிடும் LUKS2 மெட்டாடேட்டா மாற்றத்திலிருந்து பாதுகாக்கப்படவில்லை அவர்கள் தாக்குபவர்களின் கைகளில் விழுந்தால். பாதிப்பைத் தடுக்க, டெவலப்பர்கள் LUKS2 க்கு கூடுதல் மெட்டாடேட்டா பாதுகாப்பைச் சேர்த்துள்ளனர், அதற்காக கூடுதல் ஹாஷ் இப்போது சரிபார்க்கப்பட்டது, தெரிந்த விசைகள் மற்றும் மெட்டாடேட்டா உள்ளடக்கத்தின் அடிப்படையில் கணக்கிடப்படுகிறது, அதாவது தாக்குபவர் இனி மறைகுறியாக்க கடவுச்சொல்லை அறியாமல் மெட்டாடேட்டாவை திருட்டுத்தனமாக மாற்ற முடியாது.

ஒரு பொதுவான தாக்குதல் சூழ்நிலையில் தாக்குபவர்களுக்கு வாய்ப்பு தேவை தங்கள் கைகளை வைக்க வட்டில் பல முறை. முதலாவதாக, அணுகல் கடவுச்சொல்லை அறியாத தாக்குபவர், அடுத்த முறை இயக்கி செயல்படுத்தப்படும்போது தரவின் ஒரு பகுதியை மறைகுறியாக்கத் தொடங்கும் மெட்டாடேட்டா பகுதியில் மாற்றங்களைச் செய்கிறார்.

இயக்கி அதன் இடத்திற்குத் திரும்பியது மற்றும் கடவுச்சொல்லை உள்ளிட்டு பயனர் அதை இணைக்கும் வரை தாக்குபவர் காத்திருக்கிறார். சாதனத்தை பயனர் செயல்படுத்தும் போது, ​​பின்னணியில் ஒரு மறு-குறியாக்க செயல்முறை தொடங்கப்படுகிறது, இதன் போது மறைகுறியாக்கப்பட்ட தரவின் ஒரு பகுதி மறைகுறியாக்கப்பட்ட தரவுடன் மாற்றப்படுகிறது. மேலும், தாக்குபவர் மீண்டும் சாதனத்தில் தங்கள் கைகளைப் பெற முடிந்தால், இயக்ககத்தில் உள்ள சில தரவு மறைகுறியாக்கப்படும்.

கிரிப்ட்செட்அப் திட்டத்தின் பராமரிப்பாளரால் சிக்கல் கண்டறியப்பட்டது மற்றும் கிரிப்ட்செட்அப் 2.4.3 மற்றும் 2.3.7 புதுப்பிப்புகளில் சரி செய்யப்பட்டது.

விநியோகங்களில் உள்ள சிக்கலைத் தீர்க்கும் புதுப்பிப்புகளின் நிலையை இந்தப் பக்கங்களில் கண்காணிக்கலாம்: RHELSUSEஃபெடோராஉபுண்டுஆர்க். "ஆன்லைன் ரீக்ரிப்ட்" செயல்பாட்டிற்கான ஆதரவை அறிமுகப்படுத்திய க்ரிப்ட்செட்அப் 2.2.0 வெளியானதிலிருந்துதான் பாதிப்பு தோன்றுகிறது. “–disable-luks2-reencryption” விருப்பத்துடன் தொடங்கி பாதுகாப்பு தீர்வாகப் பயன்படுத்தலாம்.

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் செய்தி பற்றி, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பு.


கட்டுரையின் உள்ளடக்கம் எங்கள் கொள்கைகளை பின்பற்றுகிறது தலையங்க நெறிமுறைகள். பிழையைப் புகாரளிக்க கிளிக் செய்க இங்கே.

கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது.

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.