För ett tag sedan dök det upp en hemsk bugg i bootloadern GRUB.
Grub 1.97 stödjer lösenordsbaserad autenticiering, vilket är bra. Problemet är hur Grub utför verifieringen av lösenordet. Så länge som användaren anger en sträng som matchar ett prefix av lösenordet accepterar grub det som ett korrekt angivet lösenord. Om korrekt lösenord är “password” accepterar grub exempelvis “p”, “pa”, “pass” som godkända lösenord. Hoppsan!
Mer information om buggen finns här och här. Det jag frågar mig är hur detta kan ske 2009? Hur kan man missa att antingen använda en teknik som gör längden ointressant (kryptografisk hashfunktion), eller kollar om längden på den givna strängen matchar lösenordets längd?
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Ibland kommer jag på mig själv att försöka tab-komplettera när jag skriver in mina lösenord. Kanske GRUB blir den första att införa den funktionen.