โครงการช่วงหลังเริ่มหันมาใช้ Git กันมากขึ้นแต่โครงการจำนวนมากก็ยังคงใช้ Subversion กันเป็นปกติ ปรากฎว่า การโจมตี SHAttered ที่สร้างไฟล์ที่ค่าแฮชตรงกันสร้างความเสียหายได้มากกว่าที่คิด เมื่อมันสามารถทำฐานข้อมูล Subversion พังได้ทันทีเพียงแค่เช็คอินสองไฟล์ที่ค่าแฮชตรงกันเข้าไป
เหยื่อรายแรกๆ ของช่องโหว่นี้คือโครงการ Webkit ที่เป็นฐานของเบราว์เซอร์จำนวนมาก โดยนักพัฒนา เช็คอินไฟล์ทั้งสอง เพื่อทดสอบว่าระบบแคชของ Webkit ยังคงทำงานได้ถูกต้อง แต่เมื่อเช็คอินแล้วปรากฎว่า Subversion เสียหายไปและทำงานต่อทั้ง เช็คอินและเช็คเอาท์โค้ดต่อไม่ได้
ทาง Webkit ซ่อมข้อมูล Subversion มาทำงานต่อได้แล้ว และตอนนี้ทางโครงการ Subversion ก็แก้ปัญหาชั่วคราวด้วยการ ปล่อยสคริปต์ห้ามเช็คอินไฟล์ที่กูเกิลสร้างขึ้นมา
โปรแกรมเมอร์ท่านใดขี้เกียจทำงานวันจันทร์ก็จะมีวิธีแล้วนะครับ
ที่มา - ArsTechnica
Comments
จัดว่าน่ากลัวกว่าฝั่ง GIT (ซึ่งเก็บโดยเติม prefix เข้าไป ก่อนเก็บไฟล์ตาม hash ทำให้ไฟล์นี้ git เข้าไปแล้วไม่ถึงกับเหมือนกันเป๊ะๆซะทีเดียว)
ถ้า GIT ใช้ hash แท้ (หรือใช้การเติม suffix แทน) นี่คือพังเหมือนกัน
src: http://stackoverflow.com/questions/42433126/how-does-the-newly-found-sha1-collision-affect-git
เพิ่งเห็นเรื่อง deduplication บน hash นี่ก็แอบน่ากลัวเหมือนกัน
ที่ตลกคือ WebKit ก็เสี่ยงว่าตัวเองจะมีปัญหานี้ เลย checkin โค้ดทดสอบ
กลายเป็นไปทดสอบโครงการอื่น
lewcpe.com , @wasonliw
จากตอนแรกที่มองว่ายังไม่ร้ายแรง กลายเป็น critical patch ของ SVN เลยครับมือบอนแพทช์ไม่ทัน มีหวังพังกระจาย (ถึงจะบอกว่าคนยุคหลังมา git กันหมดแล้วก็เถอะ)
ลั่นเลยครับ 5555
ขอบคุณสำหรับวิธีครับ แต่ใช้ GIT อยู่ T-T
Jusci - Google Plus - Twitter