GCC špatně pracovalo s RDRAND instrukcemi

27. 7. 2017

V GCC se již v březnu objevila chyba, kdy se špatně zacházelo s instrukcemi RDRAND/RDSEED pro generování náhodných čísel procesorem (u Intelu od Ivy Bridge u AMD od Zen).

Detaily chyby CVE-2017–11671 byly zveřejněny až nyní. Jde o přemazání návratového kódu instrukce RDSEED, takže nejde rozpoznat například chybné provedení. Chyba už je opravena, ale zřejmě nebude mít velký dopad. Assembler tím zasažen není (např. jádro), použití RDRAND v GCC není zrovna jednoduché a vztah lidí k RDRAND je většinou skeptický.

(zdroj: phoronix)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

27. 7. 2017 17:07

NN (neregistrovaný)

To je nejak exploitovatelne, nebo se CVE rozdava na pockani?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 17:21

Fík

Zlatý podporovatel

prakticky myslím není, ale jde o náhodná čísla, která se používají třeba pro kryptografii, tak to dostalo CVE
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 17:35

CVE (neregistrovaný)

cisla CVE se prideluji na pozadani. jakemukoliv problemu v software co by mohl mit nejaky security dopad :)

co je dulezitejsi a o trochu vice vypovidajici je CVSS. Ktera toho o danem problemu rekne vic.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 20:44

RDa

To me privadi k moralni otazce z jakeho duvodu existuje CVE pro IT. Prece neni uplne koser si delat seznamy - kdo kdy chodi do prace a nezamyka, pripadne kde parkuje se svym autem, kdo ma hezkou dceru kterou nikdo odpoledne nehlida.. ktery clovek cemu veri a kde ma ty slabiny, kde jsou zajimave skladove zasoby, atd. Proc jenom IT, protoze to je neosobni, nebo vzdalene exploitovatelny, nebo tomu lidi bezmezne veri a nemaji vlastni zkusenost jako napr. s nozem ktery reze a boli to?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 22:12

robotron (neregistrovaný)

Jednak je to asi tou moznosti vzdalenyho, koordinovanyho a dost anonymniho utoku.

Krome toho se neinformuje o konkretni nezamceny dceri, ale spis o nefunkcnim mechanismu zamykani mnoha dcer. Napriklad obdobne si pamatuju ve vysel v obyc novinach clanek o otevirani FABek spachtli.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 21:05

Sten (neregistrovaný)

Možná, jde o chybu v kompilátoru. Pokud to používá nějaký software třeba pro generování certifikátů, pak by to tam zneužitelné být mohlo. AFAIK se assessment pořád ještě dělá, protože u chyb kompilátorů je hodně obtížné vyhodnotit, kam až zasahují.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 7. 2017 19:39

peterffffff (neregistrovaný)

hello darkness my old friend ....