Российский программист Кирилл Тхай из компании Virtuozzo обнаружил ошибку в популярном приложении для шифрования данных Cryptkeeper под дистрибутивом Linux Debian 9. Фактически из-за нее Cryptkeeper обзавелся универсальным паролем из одной буквы «p».
«Баг» скорее всего связан с Cryptkeeper, который некорректно взаимодействует с командной строкой EncFS и криптографической файловой системы (на базе FUSE).
Cryptkeeper вызывает EncFS и пытается перейти в «параноидальный режим», имитируя нажатие клавиши «p». Однако из-за ошибки, эта буква устанавливается в качестве пароля для всех папок.
Система EncFS недавно обновлялась, в то время как разработчики Cryptkeeper, похоже, забросили свое детище. Несовместимость и привела к такой серьезной ошибке.
Ошибка отмечена только в нестабильной версии Stretch дистрибутива Debian 9. Им пользуется очень незначительное количество людей, но тем не менее ошибка рассматривается как критическая.Из-за ошибки в Linux Debian можно установить пароль из одной буквы на все папки системы.
В обсуждении на bugs.debian.org прозвучали предложения выкинуть Cryptkeeper из дистрибутива вовсе. Как отметил разработчик Debian Саймон Маквитти, иллюзорное ощущение безопасности, которое создает Cryptkeeper, хуже, чем полное отсутствие шифрования. Пока что решено удалить Cryptkeeperтолько из нестабильной девятой версии.
«Баг» скорее всего связан с Cryptkeeper, который некорректно взаимодействует с командной строкой EncFS и криптографической файловой системы (на базе FUSE).
Cryptkeeper вызывает EncFS и пытается перейти в «параноидальный режим», имитируя нажатие клавиши «p». Однако из-за ошибки, эта буква устанавливается в качестве пароля для всех папок.
Система EncFS недавно обновлялась, в то время как разработчики Cryptkeeper, похоже, забросили свое детище. Несовместимость и привела к такой серьезной ошибке.
Ошибка отмечена только в нестабильной версии Stretch дистрибутива Debian 9. Им пользуется очень незначительное количество людей, но тем не менее ошибка рассматривается как критическая.Из-за ошибки в Linux Debian можно установить пароль из одной буквы на все папки системы.
В обсуждении на bugs.debian.org прозвучали предложения выкинуть Cryptkeeper из дистрибутива вовсе. Как отметил разработчик Debian Саймон Маквитти, иллюзорное ощущение безопасности, которое создает Cryptkeeper, хуже, чем полное отсутствие шифрования. Пока что решено удалить Cryptkeeperтолько из нестабильной девятой версии.
