В Debian 9 (кoдoвoe нaзвaниe Stretch, нeстaбильнaя вeрсия) былa обнаружена критическая проблема в популярной утилите Cryptkeeper. Суть проблемы заключается в том, что программа некорректно взаимодействует с криптографической файловой системой EncFS, которая применяется для шифрования данных. Cryptkeeper инициирует контакт с encfs и пытается перейти в paranoia mode путем симуляции нажатия клавиши «p». Однако из-за ошибки разработчиков буква «p» устанавливается в качестве пароля.
Принимая во внимание тот факт, что данный инструмент предназначен для защиты пользователя путем шифрования и сокрытия файлов, это ведет к тому, что вся информация может быть получена с помощью пароля из одной единственной буквы.
По всей видимости, причина, ошибки кроется в недавнем обновлении системы EncFs, в то время как разработчики Cryptkeeper практически не занимаются своим детищем. Несовместимость стала причиной столь грубой ошибки.
В обсуждении на bugs.debian.org прозвучали предложения удалить Cryptkeeper из дистрибутива Debian совсем. Саймон МакВитти отметил, что данная утилита дает иллюзию безопасности, что в несколько раз хуже, чем элементарное отсутствие шифрования. Пока программу удалили лишь из дистрибутива нестабильной девятой версии, которой пользуется весьма незначительное количество людей.
Оценка статьи:
2