форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
Сообщение от opennews (ok) on 07-Авг-14, 14:21
Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 0.9.8zb (http://marc.info/?l=openssl-announce&m=140736716402308&w=2), 1.0.0n (http://marc.info/?l=openssl-announce&m=140736798102522&w=2) и 1.0.1i (http://marc.info/?l=openssl-announce&m=140737022103113&w=2) в которых устранено 9 уязвимостей (https://www.openssl.org/news/secadv_20140806.txt).  Шесть проблем выявлены сотрудниками Google. Уязвимости CVE-2014-3506, CVE-2014-3510, CVE-2014-3507 и CVE-2014-3505  могут быть использованы для инициировании отказа в обслуживании (крах процесса) при использовании протокола DTLS (https://ru.wikipedia.org/wiki/DTLS). Уязвимость CVE-2014-3512 может привести к записи данных за границы буфера при обработке некорректных параметров SRP в приложениях для которых включена поддержка SRP (https://ru.wikipedia.org/wiki/SRP). Проблема CVE-2014-3511 позволяет организовать MITM-атаку по откату на  TLS 1.0 вместо использования более современной версии протокола при получении серверов некорректно фрагментированного сообщения ClientHello. Уязвимость CVE-2014-3508 может привести к утечке областей стека при использовании в приложениях для отформатированного вывода таких функций, как X509_name_oneline и X509_name_print. Уязвимость CVE-2014-5139 может использоваться для инициировании краха клиентского приложения при выдаче сервером некорректного набора шифров SRP. Проблема CVE-2014-3509 вызвана состоянием гонки в функции ssl_parse_serverhello_tlsext и может быть использована для записи до 255 байт в уже освобождённый блок памяти при обращении  многопоточного клиентского приложения к серверу злоумышленника. URL: http://marc.info/?l=openssl-announce&m=140736716402308&w=2 Новость: http://www.opennet.ru/opennews/art.shtml?num=40342
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от бедный буратино (ok) on 07-Авг-14, 14:21
	http://dayswithoutansslexploit.com/
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Andrey Mitrofanov on 07-Авг-14, 14:57
	Пусть график сделают УЖЕ! //zabbix, zabbix
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от ASIC (ok) on 07-Авг-14, 15:20
	теперь будем надеется что в либре ссл такого небудет
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+2 +/–
	Сообщение от Andrey Mitrofanov on 07-Авг-14, 15:33
	> теперь будем надеется что в либре ссл такого небудет С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей: это тоже программа, программы пишут люди (новости про инопланетян или ангелов не было!) + все люди ошибаются, во всех программах есть ошибки.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	–1 +/–
	Сообщение от jOKer (ok) on 07-Авг-14, 15:34
	Ему еще бы интерфейс нормальный. А то он справку выдает только потому что ключа --help не знает. Не то что бы меня от этого колбасило, но на самом деле это не есть хорошо: консольная утилита должна знать ключ --help, ИМХО Да и краткая справка по наиболее востребованным командам тоже бы не помешала. Меня лично сперва задолбало ключи выискивать, а потом стало все равно - я их и так узнал. Но новичкам будет кисло, ой-ей.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 15:35
	> в которых устранено 9 уязвимостей Большому кораблю - большая торпеда!
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 15:36
	Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов в этой либе у вас не будет по чисто техническим причинам. Ведь если код не запускается то и баги подпихнуть не может.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	–1 +/–
	Сообщение от Аноним (??) on 07-Авг-14, 15:40
	Пора переименоваться в OpenUSL. Unsecure Sockets Layer.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 15:41
	RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	11. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Andrey Mitrofanov on 07-Авг-14, 15:45
	> RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :) Я не про то, в смысле, как "человек, измученный забиксом," больлшой текстовый "0" и анонимные "1нах, чётчик обанулился" не воспринимаю -- без нарисованной пилы "аптайма". Рисовать-то, понятно, можно хоть чем.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+1 +/–
	Сообщение от Аноним (??) on 07-Авг-14, 16:18
	> Ему еще бы интерфейс нормальный. А то он справку выдает только потому > что ключа --help не знает. Не то что бы меня от > этого колбасило, но на самом деле это не есть хорошо: консольная > утилита должна знать ключ --help, ИМХО > Да и краткая справка по наиболее востребованным командам тоже бы не помешала. > Меня лично сперва задолбало ключи выискивать, а потом стало все равно > - я их и так узнал. Но новичкам будет кисло, ой-ей. Тебе кто-то что-то обязан? Присоединяйся и напиши. Откарячек, что-де код закрыт, уже нет.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	16. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 16:59
	> Unsecure Sockets Layer. 1. Нет такого протокола сеансового уровня, пИтросян. 2. Ты бы об этих уязвимостях никогда до старости лет не узнал бы, если бы тебе в нос ими не тыкнули.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	17. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+1 +/–
	Сообщение от Аноним (??) on 07-Авг-14, 17:28
	Согласен, что совместимость важнее производительности. Вот только безопасность важнее совместимости.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Andrey Mitrofanov on 07-Авг-14, 17:39
	>> Unsecure Sockets Layer. > 1. Нет такого WideOpenSSL примите?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	19. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+3 +/–
	Сообщение от Аноним (??) on 07-Авг-14, 17:44
	> теперь будем надеется что в либре ссл такого небудет Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по большей части - "нечаянно", в рамках банального приведения кода в порядок - к вопросу о необходимости культуры программирования. :) Для трёх проблем исправления в LibreSSL уже закоммичены: http://marc.info/?l=openbsd-cvs&m=140738701707864&w=2 http://marc.info/?l=openbsd-cvs&m=140737467804157&w=2 http://marc.info/?l=openbsd-cvs&m=140736699502263&w=2 (в описании одного из последних двух коммитов - опечатка, на самом деле речь о CVE-2014-3509) Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	20. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Andrey Mitrofanov on 07-Авг-14, 17:52
	> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по > большей части - "нечаянно", в рамках банального приведения кода в порядок > - к вопросу о необходимости культуры программирования. :) . > Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят > предварительно уведомлять коллег о То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	22. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 19:41
	>Вот только безопасность важнее совместимости. Люто плюсую.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от КЭП on 07-Авг-14, 20:10
	> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили). Они еще и деньги получают а уязвимости зондируют "как некритичные"
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	24. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от бедный буратино (ok) on 07-Авг-14, 20:42
	Кстати, а действительно, давай сделаем график?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	25. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от chinarulezzz (ok) on 07-Авг-14, 23:31
	И тем не менее, подход проекта openbsd к кодированию - лучший, к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	26. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 07-Авг-14, 23:57
	Есть надёжные альтернативы же. А теперь вопрос - вы о них знаете? :) Правильно, узнаете лет через 5Ю когда везде впилят. Ну дык и ...
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	27. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	–1 +/–
	Сообщение от Аноним (??) on 08-Авг-14, 01:44
	>> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по >> большей части - "нечаянно", в рамках банального приведения кода в порядок >> - к вопросу о необходимости культуры программирования. :) > . >> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят >> предварительно уведомлять коллег о > То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их > должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы? Уязвимости были выпилены не целенаправленно. Давайте на примере лучше: Вася с Петей живут в одном доме. Вася давно забил на уборку и мусор выносит только когда заканчивается место на кухонном полу. Зато он считает себя большим специалистом, потому что спит в обнимку с дихлофосом. Ну а как иначе, тараканы ж повсюду. А ещё Вася не даёт выкидывать старый сломанный стул, об который все спотыкаются в коридоре, потому что это якобы ценный антиквариат. В то же время Петя - нормальный человек. Стол за собой вытрет, посуду - помоет, ведро - вынесет. Но задолбался Петя, потому что сколько ни старайся - бескультурье и пофигизм Васи сводят все усилия по наведению элементарной гигиены на нет. И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, привыкшие к дому Васи, могли по дому Пети ходить с закрытыми глазами. Но уже без мусора. А все свои вещи, которые Петя унёс из дома Васи, Петя тщательно продезинфицировал. К сожалению, полностью это не помогло, но большая часть паразитов всё же сдохла. Поэтому дома у Пети дышится намного легче, посвободнее как-то. А тут к Васе заглядывает в очередной раз его тётушка Галя - надо сказать, санитарный врач по образованию, - и в ходе ревизии находит в коробочке с фильмами плесень, да не простую, а жутко опасную. Тут же дом Васи закрывается на замок и проводится дезинфекция. После чего Вася рапортует, что опасность была в мелких бытовых предметах, но миновала и теперь всё хорошо. Только тогда Петя узнаёт о проблеме (точнее, он догадывался, что чего-то такое у Васи завелось, раз дом закрыли, но ничего не было понятно), самостоятельно перепроверяет все мелкие вещи (ведь сказать конкретно, где была плесень, Вася стесняется) и тоже находит плесень. И вот прямо сейчас Петя готовится в свою очередь рассказать обо всём этом.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	28. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 04:13
	Попытка очернить юникс удалась
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	29. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	–1 +/–
	Сообщение от Аноним (??) on 08-Авг-14, 04:59
	> И тем не менее, подход проекта openbsd к кодированию - лучший, Ну не знаю, openssh они накодировали в огромного переросточного монстра с кучей всякой вспомогательной и нафигнужной муиты. В результате на то чтобы прочитать его код и проверить что там все честно - надо *месяцы* просадить. Их openssh превратился в монстрюгу. > к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают. Да мы можем и про опенбсдшные, если надо.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	30. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 05:02
	> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, > привыкшие к дому Васи, могли по дому Пети ходить с закрытыми > глазами. Но уже без мусора. Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, разберемся где там тараканы, где стул, а где гости. И что надо удалить. А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и в архитектуре и юзабилити был такой же спец как и в бытовых вопросах - дом Пети оставляет желать много лучшего.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	31. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 05:05
	> 1. Нет такого протокола сеансового уровня, пИтросян. На самом деле есть, но его называют Secure Sockets Layer по какому-то недоразумению, если не саботажу. > 2. Ты бы об этих уязвимостях никогда до старости лет не узнал > бы, если бы тебе в нос ими не тыкнули. Не отменяет того факта что они есть. А невъ....ного размера код для переросточного протокола, который я до старости не смогу проанализироваьт - это БАГ а не фича.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	32. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 05:07
	> "Совместимость важнее производительности" чего-нибудь говорит, не? А здесь не о производительности, здесь уже о стабильности и безопасности. Но вы в вашем праве пользоваться MS-DOS, там совместимость уже никто портить не будет, стопудово. > Мир не ограничен 17ю дюймами твоего персонального локалхоста, сечешь? Подумаешь, на десяток дюймов пролошился. Ну не все же бомжи как вы :).
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	34. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 07:07
	>> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, >> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми >> глазами. Но уже без мусора. > Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, > разберемся где там тараканы, где стул, а где гости. И что > надо удалить. > А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и > в архитектуре и юзабилити был такой же спец как и в > бытовых вопросах - дом Пети оставляет желать много лучшего. Технически - да, так точнее. :) Но суть не меняется. И, к слову, Петя сейчас усердно работает над имеющимися проблемами. В том числе делает отдельную, не очень большую, но очень удобную пристройку, специально для гостей... Но это уже предмет отдельного, не дырозатыкательного, релиза. :)
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	35. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 09:33
	Маркетинговый буллшит про две удалённых уязвимости настиг и вас.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	37. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Аноним (??) on 08-Авг-14, 12:11
	> Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов > в этой либе у вас не будет по чисто техническим причинам. > Ведь если код не запускается то и баги подпихнуть не может. ... Сказал человек, который configure для LibreSSL ни разу не запускал, не то что make.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	38. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Нанобот (ok) on 08-Авг-14, 14:42
	>> теперь будем надеется что в либре ссл такого небудет >С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей ты что, хочешь лишить человека Надежды?!!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	39. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."	+/–
	Сообщение от Куяврег on 08-Авг-14, 18:49
	...уютная ппашечка, интерграция с системды... ну, ты знаешь, чо делать, верно?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема