Demo af SHA-1-kollision giver Subversion problemer

Versionsstyringssystemet Apache Subversion får problemer, hvis man lægger to forskellige dokumenter med den samme SHA-1-hashværdi ind.

Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.

Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.

Google har bekræftet, at det er et generelt problem. I nogle tilfælde bliver det umuligt at lægge ny kode ind i systemet, efter at de to dokumenter er indlagt.

Udviklerne af Subversion har udsendt et script, der forhindrer forsøg på at indlægge dokumenter med SHA-1-kollisioner.

Anbefaling

Brugere af Subversion bør overveje at installere scriptet, der forhindrer, at SHA-1-kolliderende dokumenter lægges ind.

Links