Comments 22
А версия 9.20 подвержена этой уязвимости?
Что-то не смог с ходу найти информацию…
Что-то не смог с ходу найти информацию…
Users are urged to update their vulnerable versions of 7-Zip to the latest revision, version 16.00, as soon as possible.
Это да, но на сайте 7-Zip на странице "Downloads" прямо явно видны две ветки: с последней версией 16.00 и с последней версией 9.20.
Часто бывает так, что у программы несколько стабильных веток, и в более новой версии с кучей новых плюшек, ванильным интерфейсиком и голосовой почтой, находят уязвимости, а в старой версии, брутальной и простой, этих уязвимостей нет. Так что хотелось бы понять, входит ли 9.20 в «their vulnerable versions» или нет.)
Вот скриншот:
Часто бывает так, что у программы несколько стабильных веток, и в более новой версии с кучей новых плюшек, ванильным интерфейсиком и голосовой почтой, находят уязвимости, а в старой версии, брутальной и простой, этих уязвимостей нет. Так что хотелось бы понять, входит ли 9.20 в «their vulnerable versions» или нет.)
Да, и если предположить, что у этих версий уязвимость есть, то есть ли она и у 7-Zip [32] 9.20?
В комментах у талос и у ласт релиза на сф есть непроверенное никем заявление пользователя, проверившего исходники. Он заявляет что уязвимость с удаленным исполнением кода есть в 9.20 и может быть в том числе в ранних версиях начиная с версии где включили поддержку UDF и HFS+
Возник вопрос, тоже с безопасностью, но точки зрения анонимности.
Потенциально, архиваторы могут сохранять в архивах некоторую информацию о компьютере, на котором создавался архив (в том числе и неявно, например в каком-то зашифрованном и «размазанном» по всему архиву виде). Различные id железа, mac и ip адрес, идентификатор пользователя в ОС (в том числе и привязка к облачным сервисам ОС) и т.д.
На первый взгляд, проверить это можно достаточно просто: сделать архив из одинакового набора файлов на разных компьютерах и сравнить побайтово. Но теоретически активация такой скрытой записи id может осуществляться не всегда, а по каким-то признакам — специальные имена и расширения файлов и т.п.
Интересно, проводятся ли подобные исследования и проверки безопасности архиваторов?
Потенциально, архиваторы могут сохранять в архивах некоторую информацию о компьютере, на котором создавался архив (в том числе и неявно, например в каком-то зашифрованном и «размазанном» по всему архиву виде). Различные id железа, mac и ip адрес, идентификатор пользователя в ОС (в том числе и привязка к облачным сервисам ОС) и т.д.
На первый взгляд, проверить это можно достаточно просто: сделать архив из одинакового набора файлов на разных компьютерах и сравнить побайтово. Но теоретически активация такой скрытой записи id может осуществляться не всегда, а по каким-то признакам — специальные имена и расширения файлов и т.п.
Интересно, проводятся ли подобные исследования и проверки безопасности архиваторов?
Зачем это делать? И каким образом такие данные потом считывать (и кто будет их считывать, явно не автор архиватора же).
Или это намёк на то, что такая информация может быть полезна разного рода спецслужбам — типа перехватили некий архив, хотим узнать, кто его создал?
Или это намёк на то, что такая информация может быть полезна разного рода спецслужбам — типа перехватили некий архив, хотим узнать, кто его создал?
Именно, закладка для спецслужб.
Ну как мне кажется, если спецслужбы найдут на неком файл-хостинге какой-то архив — они и без всяких закладок потребуют у хостинга IP залившего файл. Я даже не удивлюсь, если такие данные сайты законодательно обязаны хранить а течение какой-то срока.
Разве что — если файл через Tor был загружен…
Разве что — если файл через Tor был загружен…
Да, я имею в виду загрузку через Tor.
Вот сейчас сделал два архива из одного и того же набора файлов, на одном и том же компьютере, с одним и тем же паролем (через 7z) — в итоге только размер одинаковый, а двоично вообще разные. Откуда вывод — при шифровании используется не только пароль, но и случайные числа. Или не только случайные, но и вполне конкретные — например время создания и уникальный идентификатор машины.
У 7z исходники открыты, можно конечно посмотреть. И стало даже интересно посмотреть другие архиваторы.
Вот сейчас сделал два архива из одного и того же набора файлов, на одном и том же компьютере, с одним и тем же паролем (через 7z) — в итоге только размер одинаковый, а двоично вообще разные. Откуда вывод — при шифровании используется не только пароль, но и случайные числа. Или не только случайные, но и вполне конкретные — например время создания и уникальный идентификатор машины.
У 7z исходники открыты, можно конечно посмотреть. И стало даже интересно посмотреть другие архиваторы.
UFO just landed and posted this here
Дело в том, что 7-zip при шифровании архива использует не непосредственно пароль, а некий производный от пароля ключ зашифрованный «солью», которая каждый раз генерируется заново, следовательно каждый архив, даже защищенный одним и тем же паролем будет отличаться от всех остальных.
Это необходимо для того, чтобы было невозможно перебрать за разумное время пароли по словарю или радужным таблицам.
Вот файл, в котором определены алгоритмы шифрования для архива 7z: 7-zip/CPP/7zip/Crypto/7zAes.cpp
Это необходимо для того, чтобы было невозможно перебрать за разумное время пароли по словарю или радужным таблицам.
Вот файл, в котором определены алгоритмы шифрования для архива 7z: 7-zip/CPP/7zip/Crypto/7zAes.cpp
Правильное симметричное шифрование обязательно использует синхропосылку (initialization vector) в сочетании с одним из режимов обратной связи (mode of operation) именно для того, чтобы одинаковая входная информация давала каждый раз совершенно иной результат.
Так и есть. Согласно законодательству все хостеры обязаны хранить время и IP входов.
Многие постоянно забывают, что tar сохраняет имя пользователя и группы у файлов, не числовой идентификатор, а именно строку. Ну и еще в GZIP-ответе некоторых серверов есть timestamp, по которому можно установить таймзону сервера, но это очень редко.
7-zip же open-source, никто не мешает посмотреть, что и как он делает…
А какое имеет отношение архиватор к UDF и HFS+, если это файловые системы? LZMA тоже в опасности, ведь алгоритм вроде тот же самый?
Sign up to leave a comment.
В популярном архиваторе 7-Zip исправили серьезные уязвимости