URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 116591
[ Назад ]
Исходное сообщение
"Уязвимость в библиотеке MatrixSSL"
Отправлено opennews , 15-Фев-19 14:49 
В открытой криптографической библиотеке MatrixSSL (https://github.com/matrixssl/matrixssl), рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена (https://seclists.org/oss-sec/2019/q1/137) уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569 (https://security-tracker.debian.org/tracker/CVE-2014-1569)) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту (https://github.com/FiloSottile/BERserk) для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала (https://www.mcafee.com/enterprise/en-us/threat-center/advanc...), что  MatrixSSL  имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.


URL: https://seclists.org/oss-sec/2019/q1/137
Новость: https://www.opennet.ru/opennews/art.shtml?num=50151

Содержание
Сообщения в этом обсуждении
"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноняшка , 15-Фев-19 15:07 
> уязвимость,
> SSL
> в 2014 году
> Intel
> CVE-2014-1569
> Mozilla
> в 2014 году, Карл!
> до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...
> переполнению буфера при обработке специально оформленных сертификатов X.509

ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe

> лежащей в основе коммерческого продукта

за что люди платят?) Свободные программы не хуже)

"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноним , 16-Фев-19 02:51 
Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?
"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноним , 16-Фев-19 05:41 
Зачем бесплатно? Свободное != бесплатное.
"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноним , 16-Фев-19 15:29 
Обоснуйте свою точку зрения.
"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноним , 16-Фев-19 22:16 
Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства
"Уязвимость в библиотеке MatrixSSL"
Отправлено Xasd5 , 15-Фев-19 15:48 
кто вообще знает про существование этого matrxssl ?

кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

"Уязвимость в библиотеке MatrixSSL"
Отправлено Аноним84701 , 15-Фев-19 16:19 
> кто вообще знает про существование этого matrxssl ?
> кто является клиентами?

Оно как суслик -- вроде бы ни разу в жизни не видел, но …
> Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixssl

Говорят, intel, canon, d-link:
http://forums.dlink.com/index.php?topic=73920.0
> Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSL

там лицензия дуальная, gpl-проприетарная, так что …

"Уязвимость в библиотеке MatrixSSL"
Отправлено h31 , 16-Фев-19 02:59 
> почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

Лично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.

"Уязвимость в библиотеке MatrixSSL"
Отправлено Xasd , 16-Фев-19 20:38 
> для встраиваемых устройств - слишком жирно

надеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-)