URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 110274
[ Назад ]

Исходное сообщение
"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено opennews , 26-Янв-17 22:55

Доступны корректирующие выпуски криптографической библиотеки OpenSSL (https://www.openssl.org/) 1.0.2k (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...) и 1.1.0d (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...), в которых устранены 4 уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...), трём из которых присвоен умеренный уровень опасности, а одной - низкий.
-  CVE-2017-3731 - позволяют инициировать крах серверного или клиентского SSL/TLS-приложения на 32-разрядных системах (чтение из области за пределами буфера) при приёме повреждённого пакета. В ветке OpenSSL 1.1.0 проблема проявляется при использовании алгоритмов CHACHA20/POLY1305, а в Openssl 1.0.2 -  RC4-MD5;
-   CVE-2017-3730 - может привести к краху клиентского приложения (разыменование нулевого указателя) при передаче сервером некорректных параметров  при обмене ключами по протоколам DHE или ECDHE;
-  CVE-2017-3732 - BN_mod_exp может вернуть некорректный результат на платформе x86_64, атака отнесена к категории труднореализуемых и маловероятных.

URL: https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45927

Содержание

Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,ОлдФак, 22:55 , 26-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,iZEN, 00:15 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Sw00p aka Jerom, 02:59 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Аноним, 14:04 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Лукашенко, 14:06 , 27-Янв-17
    - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Аноним, 03:34 , 28-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Аноним, 01:31 , 27-Янв-17
Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Michael Shigorin, 23:03 , 26-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Аноним, 07:08 , 27-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Anonimus, 10:07 , 27-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Старый, 12:23 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,ппрошшш, 14:01 , 27-Янв-17
    - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Аноним, 03:36 , 28-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Ilya Indigo, 14:55 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,пох, 15:26 , 27-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,пох, 15:10 , 27-Янв-17
- Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,Red Anus Flag Linux, 15:15 , 27-Янв-17
  - Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей,пох, 16:25 , 27-Янв-17

Сообщения в этом обсуждении

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено ОлдФак , 26-Янв-17 22:55

В FreeBSD-HEAD уже внесена 1.0.2k

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено iZEN , 27-Янв-17 00:15

В 11-STABLE тоже внесли изменения.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Sw00p aka Jerom , 27-Янв-17 02:59

выпилить бы к чертя на*

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Аноним , 27-Янв-17 14:04

Само обновило в Docker контейнере под линуксом.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Лукашенко , 27-Янв-17 14:06

> В 11-STABLE тоже внесли изменения.
Дрочиш небось?

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Аноним , 28-Янв-17 03:34

Школьник небось?

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Аноним , 27-Янв-17 01:31

В STABLE 11 уже прилетело. Кстати, вместе с
Author: emaste <emaste@FreeBSD.org>
Date: Wed Jan 25 01:04:51 2017 +0000
Add WITH_REPRODUCIBLE_BUILD src.conf(5) knob

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Michael Shigorin , 26-Янв-17 23:03

Это просто праздник какой-то... хорошо, что у нас 1.0.2 до сих пор хоть.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Аноним , 27-Янв-17 07:08

хвастается тем что у вас дыры не исправляют ?

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Anonimus , 27-Янв-17 10:07

Это все потому что вы много проводите времени на форумах, вместо пиления своего багтрекера. В каждой бочке затычка, Михалл, право же!

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Старый , 27-Янв-17 12:23

Сказочный ... Как его только из больницы выпустили?

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено ппрошшш , 27-Янв-17 14:01

таких в кащенко сейчас долго не держат ведь миша обычный алкаш

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Аноним , 28-Янв-17 03:36

а ты обычный дегенерат. и что с того? у всех есть недостатки.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Ilya Indigo , 27-Янв-17 14:55

Понимаю, если бы у вас был LibreSSL, то есть не просто бы был одним пакетом, который не требуется никому, а все пакеты требующие OpenSSL требовали бы LibreSSL и успешно линковались с нем, тогда да, есть повод для гордыни и хвастовства. А так...

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено пох , 27-Янв-17 15:26

> Понимаю, если бы у вас был LibreSSL
зачем?
> то есть не просто бы был одним пакетом, который не требуется никому
ту, единственную, софтину для которой актуальна и сравнительно безопасна диверсификация - тебе никто не мешает пересобрать самому. Для всего остального решительно ничего хорошего в libressl нет.
> есть повод для гордыни и хвастовства. А так...
libressl и есть бессмысленный повод гордыни и хвастовства - ничего из заявленных целей авторы не добились, совместимость без дополнительных допилок сломали как со всем распространенным софтом, нахудожествовав в api, так и с удаленными сервисами, понаудаляв "ненужного" кода (который необходимо и достаточно было просто не использовать без нужды).
Проект так и не породил простой, понятной и обозримой ssl-библиотеки - по причине изначальной безнадежности этой затеи. С тех пор они занимаются бэкпортами уже исправленных в мэйнстриме проблем, ничего н
Тратить время разработчиков хоть альта хоть кого на допиливание всего дистрибутивного софта под кастрированный апи - нет ни малейшего смысла. Там где это дается мелкими и разумными правками - это и так делают авторы самого софта.
И да, баг с "should not be called" так и не дошел до сознания авторов. То есть где-то внутри все еще весьма вероятная дыра размером с железнодорожный вагон, отсутствующая в mainstream.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено пох , 27-Янв-17 15:10

ну, кто запретил у себя weak algo - тем хорошо.
Кто вынужден их использовать для совместимости чорти с чем - тем гораздо хуже, чем было бы с 1.1 до выпуска заплатки - потому что новомодные djb'шные протоколы в общем-то не особенно нужны, и запретить их до исправления (а лучше, как все ненужное, навсегда) можно почти в любом разумном месте.

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено Red Anus Flag Linux , 27-Янв-17 15:15

Федеральное шифрование небось с мастер ключом фсб?

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Отправлено пох , 27-Янв-17 16:25

> Федеральное шифрование небось с мастер ключом фсб?
а зачем тебе, шифруя _государственные_ секреты (ибо это единственное, где _требуют_ использования гостовского шифрования), что-то скрывать от ФСБ?