Tag: bouncy castle

Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

20 grudnia 2020, 16:09 | Aktualności | komentarze 3
Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

Sami badacze piszą tak: CVE-2020-28052 is an authentication bypass vulnerability discovered in Bouncy Castle’s OpenBSDBcrypt class. It allows attackers to bypass password checks. O co dokładnie chodzi? Zerknijcie tutaj. Użytkownik loguje się, podając hasło. Aplikacja liczy hash hasła i porównuje go z wartością w bazie. W jaki sposób porównuje? Mniej…

Czytaj dalej »