Krypto-API Bouncy Castle: Angreifer könnten Passwort-Check stören
Es gibt ein wichtiges Sicherheitsupdate für Bouncy Castle.
Aufgrund einer Lücke in der Krypto-API Bouncy Castle könnten Angreifer den Passwort-Check aufheben und so Websites effektiver mit Brute-Force-Attacken angreifen. Eine abgesicherte Version steht zum Download bereit.
Der Fehler findet sich in der OpenBSDBcrypt-Klasse, die auf den Bcrypt-Algorithmus zum Speichern von Passwörtern setzt. Kommt das beispielsweise auf einer Website zum Einsatz, sind Kennwörter in der Regel optimal vor Hacker-Attacken geschützt.
Authentication bypass
Versucht ein Angreifer durch tausendfaches wahlloses Ausprobieren von Zeichenkombination Passwörter zu erraten, um sich zum Beispiel im Admin-Bereich einzuloggen, funkt Bcrypt dazwischen.
Mittels der Durchführung vieler Iterationen von Hash-Operationen fordert der Algorithmus für einen Passwort-Gegencheck absichtlich viele Ressourcen ein. So kann ein Angreifer zeitlich gesehen nur vergleichsweise wenig Passwörter pro Sekunde ausprobieren und Brute-Force-Attacken sind nicht effektiv.
Aufgrund des Fehlers könnten Angreifer diesen Check umgehen, warnen Sicherheitsforscher von Synopsys in einem Beitrag. Ihnen zufolge betrifft die mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-28052) ausschließlich die Bouncy-Castle-Versionen 1.65 und 1.66. Die Ausgabe 1.67 ist repariert.
(des)