В открытой криптографической библиотеке MatrixSSL (https://github.com/matrixssl/matrixssl), рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена (https://seclists.org/oss-sec/2019/q1/137) уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569 (https://security-tracker.debian.org/tracker/CVE-2014-1569)) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту (https://github.com/FiloSottile/BERserk) для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала (https://www.mcafee.com/enterprise/en-us/threat-center/advanc...), что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.
URL: https://seclists.org/oss-sec/2019/q1/137
Новость: https://www.opennet.ru/opennews/art.shtml?num=50151
> уязвимость,
> SSL
> в 2014 году
> Intel
> CVE-2014-1569
> Mozilla
> в 2014 году, Карл!
> до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...
> переполнению буфера при обработке специально оформленных сертификатов X.509ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe
> лежащей в основе коммерческого продукта
за что люди платят?) Свободные программы не хуже)
Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?
Зачем бесплатно? Свободное != бесплатное.
Обоснуйте свою точку зрения.
Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства
кто вообще знает про существование этого matrxssl ?кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки
> кто вообще знает про существование этого matrxssl ?
> кто является клиентами?Оно как суслик -- вроде бы ни разу в жизни не видел, но …
> Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixsslГоворят, intel, canon, d-link:
http://forums.dlink.com/index.php?topic=73920.0
> Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSLтам лицензия дуальная, gpl-проприетарная, так что …
> почему нельзя было воспользоваться nss или openssl? вместо никому не известной штукиЛично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.
> для встраиваемых устройств - слишком жирнонадеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-)