В операционной системе JUNOS (https://ru.wikipedia.org/wiki/JUNOS), используемой в различных сетевых устройствах компании Juniper, выявлена серьёзная уязвимость (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1... (CVE-2016-1280), позволяющая обойти проверки по цифровым сертификатам, заверенным удостоверяющими центрами. Суть проблемы в том, что JUNOS воспринимает как корректные любые самоподписанные сертификаты, имя создателя в которых совпадают с корректными сертфикатами, загруженными в JUNOS. Т.е. атакующий может у себя сгенерировать сертификат и использовать его для подключения к корпоративному VPN (IKE/IPsec).

URL: http://arstechnica.com/security/2016/07/crypto-flaw-made-it-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44792

• Возможность обхода проверки сертификатов в продуктах Juniper...,Какаянахренразница, 12:57 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Dude, 14:11 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 16:16 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 17:09 , 15-Июл-16
    • Возможность обхода проверки сертификатов в продуктах Juniper...,Какаянахренразница, 18:00 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,omnomnim, 19:47 , 15-Июл-16
• Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 13:33 , 15-Июл-16
• Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 14:00 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 14:17 , 15-Июл-16
    • Возможность обхода проверки сертификатов в продуктах Juniper...,rob pike, 14:30 , 15-Июл-16
      • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 15:14 , 15-Июл-16
        • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 15:37 , 15-Июл-16
          • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 16:21 , 15-Июл-16
            • Возможность обхода проверки сертификатов в продуктах Juniper...,someone else, 18:52 , 15-Июл-16
              • Возможность обхода проверки сертификатов в продуктах Juniper...,rob pike, 19:07 , 15-Июл-16
                • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 20:17 , 15-Июл-16
                  • Возможность обхода проверки сертификатов в продуктах Juniper...,rob pike, 21:24 , 15-Июл-16
            • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 20:18 , 15-Июл-16
      • Возможность обхода проверки сертификатов в продуктах Juniper...,Z, 18:41 , 15-Июл-16
        • Возможность обхода проверки сертификатов в продуктах Juniper...,rob pike, 19:10 , 15-Июл-16
          • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 11:55 , 16-Июл-16
        • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 19:02 , 17-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,EHLO, 19:28 , 15-Июл-16
• Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 23:17 , 15-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Mail, 12:05 , 16-Июл-16
    • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 16:16 , 17-Июл-16
  • Возможность обхода проверки сертификатов в продуктах Juniper...,Аноним, 16:14 , 17-Июл-16

1. И сотворил Господь Бог решето. И посмотрел сквозь него на свет. И понял, что сотворил фигню. И хотел было аннигилировать его нафиг.
2. Но увидел сие князь Тьмы. И сказал Богу: "Дай прикольнуться". И взял решето из рук господних. И бросил посреди дороги.
3. В те дни шёл ходил той дорогой некий программист. И увидел выброшенное решето. И сказал человек в сердце своём: "Вот, выбросили хорошую вещь, почти новую".
4. И решил программист: "Вот, лежит ничейное решето. Возьму решето, пропатчу и буду пользоваться."

Навзрыд!

5. И пользовался до обеда, пока не разогнали всех троих по палатам и газетку с продранными в ней дырками не отобрали.

> И посмотрел сквозь него на свет. И понял, что сотворил фигню. Ибо булки хлеба в том мире росли на деревьях, о муке и надобности ее просеивания (как впрочем и целой кучи других "продуктов") не только пограммисты слыхом не слыхивали )

> Ибо булки хлеба в том мире росли на деревьях, о муке и
> надобности ее просеивания (как впрочем и целой кучи других
> "продуктов") не только пограммисты слыхом не слыхивали )

Добавим притче реализма.

"И взял программист JunOS. И давай просеивать через неё муку."

красава

Дак залепили же уже !

Как можно было так лохануться?

Проприетарщина - такая проприетарщина...

Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!

В опенссл пока не додумались проверять валидность серта по названию.

зато как дебиан пропатчил этот openssl... так всему интернет аукается;

> зато как дебиан пропатчил этот openssl... так всему интернет аукается;

Дебиан в отличие от жунипера можно пропатчить самому.

Т.е., если у тебя взломали проприетарную софтину, то виновата компания, а если опенсорсную, то виноват ты сам, т.к. не сделал патч?
Мне нравится этот подход

Всегда виновата компания. Потому что бесчеловечные капиталистические акулы заботятся только о своей прибыли, а на счастье трудового народа им наплевать.

то есть виноват дебиан ?

Нет, Debian - это артель, их всемерно поддерживали Совнарком, ЦК ВКП(б), и даже лично товарищ Сталин, в частности, в своей работе "Экономические проблемы социализма в СССР".

>> зато как дебиан пропатчил этот openssl... так всему интернет аукается;
> Дебиан в отличие от жунипера можно пропатчить самому.

но что-то весь интернет не пропатчил - теперь пол интернета можно просто подобрать ключик к ssh.

> Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!

А ты давай ссылку на исходники закрытого аналога - мы сравним.

>> Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!
> А ты давай ссылку на исходники закрытого аналога - мы сравним.

https://realtimelogic.com/products/sharkssl/

Договаривайтесь, покупайте лицензию на просмотр исходников, сравнивайте.

Это не исходники

а если с либрой посравнивать ? там вроде /!%! повыкидывали из кодовой базы.

>Как можно было так лохануться?

Ты про покупателей этого проприетарного растения, или про то что бэкдоры нужно лучше прятать?

А что про Микротик скажете? Достойная штука??

Переусложненная фигня

> Переусложненная фигня

да не, оно не сложнее какого-нить асуса или длинка из SOHO -коробок, просто там залочено все в дым а в тиках - оставили "крутилок".
если надо больше - для части тиков есть и альтернативный фирмвер(на базе openwrt, ЕМНИП), но это своди смысл покупки тиков к нулю, тк есть платформы "из коробки" более подходящие для такой трансплантации, в тч из числа SOHO-франкенштейнов.

процы жидкие и памяти мало. но если вам не нужно больше чем тамм поддерживается - то вполне. управляемая и неубиваемая штука.
фирмвер жидкий, тк кроме ядра и нетфильтра, загрузчика - там от линукса мало что осталось. но соотв и поверхность атаки - поменьше.
в общем - на любителя. но если хотите - попробуйте, может понравится. у нас многие даже домой ставят.
но проца - реально мало.(можено конечно младших 1009 и 1016)CCR модели взять, но это совсем Другой ценник и шумность. а 3011 и дороговат и не так быстр как стоит.