Один из разработчиков WebKit провел проверку того, как движок справится с коллизиями хеш-функций SHA-1. Результатом проверки стал выход из строя всего репозитория исходного кода Subversion (SVN). Проблему впервые обнаружили в WebKit SVN, но она присутствует во всех реализациях Subversion.
Ранее эксперты из Google и Центра математики и информатики в Амстердаме обнародовали отчет о первой в мире успешно проведенной атаке поиска коллизий хеш-функций SHA-1 – SHAttered. Исследователи в качестве примера показали два PDF-файла с одинаковым хешем SHA-1 и абсолютно разным контентом.
Чтобы проверить, как WebKit справляется с коллизиями хеш-функций SHA-1, разработчик WebKit внедрил набор тестовых данных в исходный код движка. Специалист загрузил PDF-файлы, упомянутые выше, и после завершения загрузки два идентичных хеша спровоцировали сбой в SVN. Результатом сбоя стало прекращение приема репозиторием какого-либо нового исходного кода.
Разработчик удалил загруженные PDF-файлы, но работа репозитория не была восстановлена. SVN больше не мог осуществлять синхронизацию с зеркальными репозиториями. На протяжении нескольких часов члены команды WebKit не знали, каким образом можно решить проблему. В результате специалисты нашли решение, но при этом они навсегда отказались от интеграции системы для обнаружения коллизий хеш-функций SHA-1 со своим программным обеспечением.