Уязвимост в библиотеката с основната реализация на алгоритъма SHA-3

Беше идентифицирана уязвимост (CVE-3-2022) при внедряването на криптографската хеш функция SHA-37454 (Keccak), предлагана в пакета XKCP (eXtended Keccak Code Package), която може да доведе до препълване на буфера по време на обработката на определени форматирани данни. Проблемът е причинен от грешка в кода на конкретно изпълнение на SHA-3, а не от уязвимост в самия алгоритъм. Пакетът XKCP се рекламира като официална реализация на SHA-3, разработена с помощта на екипа за разработка на Keccak и използвана като основа за функции на SHA-3 в различни езици за програмиране (напр. XKCP кодът се използва в хешлиба на Python модул, Ruby digest пакет sha3 и функции PHP hash_*).

Според изследователя, идентифицирал проблема, той е успял да използва уязвимостта, за да наруши криптографските свойства на хеш функцията и да намери първото и второто предобрази, както и да открие сблъсъци. Освен това беше обявено, че ще бъде създаден прототип на експлойт, който ще позволи изпълнението на код при изчисляване на хеша на специално проектиран файл. Уязвимостта може потенциално да се използва и за атака на алгоритми за проверка на цифров подпис, които използват SHA-3 (например Ed448). Подробности за методите на атака се планира да бъдат публикувани по-късно, след като уязвимостта бъде елиминирана навсякъде.

Все още не е ясно колко уязвимостта засяга съществуващите приложения на практика, тъй като за да се прояви проблемът в кода, трябва да се използват циклични хеш изчисления в блокове и един от обработените блокове трябва да е с размер около 4 GB (поне 2^32 - 200 байта). При обработка на входните данни наведнъж (без последователно изчисляване на хеша на части), проблемът не се появява. Като най-прост метод за защита се предлага да се ограничи максималния размер на данните, включени в една итерация на хеш изчислението.

Уязвимостта е причинена от грешка в блоковата обработка на входните данни. Поради неправилно сравнение на стойности с тип "int", се определя неправилният размер на чакащите данни, което води до записване на опашката извън разпределения буфер. По-специално, сравнението използва израза „partialBlock + instance->byteIOIndex“, което доведе до целочислено препълване за големи стойности на съставните части. Освен това в кода имаше неправилно преобразуване на типа "(unsigned int)(dataByteLen - i)", което предизвика препълване на системи с 64-битов тип size_t.

Примерен код, който причинява препълване: import hashlib h = hashlib.sha3_224() m1 = b"\x00" * 1; m2 = b"\x00″ * 4294967295; h.update(m1) h.update(m2) print(h.hexdigest())

Източник: opennet.ru