Репозитории SVN стали первыми жертвами атаки SHAttered

Спустя всего день после публикации подробностей об успешном поиске коллизий хеш-функций SHA-1 появилась первая жертва описанной в докладе атаки. Один из разработчиков WebKit решил проверить, как движок справится с коллизиями, и в результате вывел из строя весь репозиторий исходного кода Subversion (SVN). Проблема была впервые обнаружена в WebKit SVN, однако затрагивает не только этот движок, но и все остальные реализации Subversion.

Напомним, на прошлой неделе команда исследователей Google и Центра математики и информатики в Амстердаме опубликовали доклад об осуществлении первой в мире успешной атаки поиска коллизий хеш-функций SHA-1, получившей название SHAttered. В качестве примера эксперты продемонстрировали два файла в формате PDF с одинаковым хешем SHA-1 , но с совершенно разным содержимым.

С целью проверить, как WebKit справится с коллизиями хеш-функций SHA-1, один из инженеров WebKit добавил в исходный код движка набор тестовых данных. Исследователь загрузил упомянутые выше PDF-файлы, и как только загрузка была завершена, два идентичных хеша вызвали сбой в SVN, в результате чего репозиторий перестал принимать какой-либо новый исходный код.

Инженер удалил загруженные PDF-файлы, однако репозиторий по-прежнему не работал. Более того, SVN больше не синхронизировался с зеркальными репозиториями, и в течение нескольких часов команда WebKit не знала, как справиться с проблемой. В итоге решение было найдено, но разработчики раз и навсегда отказались интегрировать со своим ПО систему для обнаружения коллизий хеш-функций SHA-1.

Источник