The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в OpenSSL

19.04.2012 20:57

В экстренном порядке выпущены корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость, которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

Проблема выявлена группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux, проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian.

Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах (проблема не ограничена 64-разрядными платформами).

Опасность эксплуатации отмечается для приложений, использующих для разбора MIME-блоков функции SMIME_read_PKCS7 и SMIME_read_CMS, а также любые другие функции, связанные с декодированием DER-блоков через функции на базе BIO (d2i_*_bio) и FILE (d2i_*_fp), например, 2i_X509_bio или d2i_PKCS12_fp. В частности, уязвимости подвержена штатная утилита коммандной строки из состава OpenSSL, которая может быть эксплуатирована при обработке данных в формате DER. Приложения, использующие только процедуры PEM или функции ASN1 (d2i_X509, d2i_PKCS12 и т.п.) не подвержены данной уязвимости. Код, связанный с SSL и TLS, проблеме не подвержен, тем не менее следует обратить внимание, не используют ли приложения кроме SSL/TLS проблемных функций, подобных d2i_X509_bio.

  1. Главная ссылка к новости (http://marc.info/?l=openssl-an...)
  2. OpenNews: Релиз библиотеки OpenSSL 1.0.1 с поддержкой TLS 1.2
  3. OpenNews: Уязвимости в OpenSSL, systemd, FreeType, libxslt, YAML::LibYAML, DBD::Pg, OpenLDAP
  4. OpenNews: Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSSL, Moodle, VirtualBox, Solaris, Wireshark, Glibc, DragonFly BSD, Asterisk
  5. OpenNews: Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils, Apache Geronimo и Apache Struts
  6. OpenNews: Релиз OpenSSL 1.0.0e с устранением двух уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (97) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Толя Вихров (ok), 21:56, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В арче уже обновился (не тестинг) :)
     
     
  • 2.161, Michael Shigorin (ok), 16:53, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Build Date: Fri Apr 20 00:51:33 2012
    Source RPM: openssl10-1.0.0i-alt1.src.rpm
     

  • 1.2, G.NercY.uR (?), 21:56, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Жестачина то какая! Что ни месяц то жуткие дыры которые надо в срочном порядке и на всех подведомственных серваках латать!
    Чем больше ИТ-технологии вплетаются в жизнь, тем мне как ИТ-шнику страшней от мыслей как же в один прекрасный момент может быть страшно от какого-нибудь ИТ-апокалипсиса.
     
     
  • 2.3, umbr (ok), 22:18, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Наоборот, радоваться надо тому что находят и фиксят.
    Будто этих дыр раньше не было или о них вообще никто не знал.
     
     
  • 3.207, дон педро (?), 21:43, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Этой дыре минимум 6 лет.
     
  • 2.6, Аноним (-), 22:47, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну не такая уж и дикая

    > Код, связанный с SSL и TLS, проблеме не подвержен

     
     
  • 3.8, Dron (ok), 23:03, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    DER используется для кодирования сертификатов.
    Сайт вполне может подсунуть броузеру специальный сертификат.

    Вообще OpenSSL - жуткий отстой... в коде бардак.

     
     
  • 4.14, Аноним (-), 00:39, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Вообще OpenSSL - жуткий отстой... в коде бардак.

    Это вообще фирменный стиль дочерних проектов OpenBSD.
    Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.

     
     
  • 5.55, Аноним (-), 09:25, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это вообще фирменный стиль дочерних проектов OpenBSD.
    > Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.

    Вы путайте OpenSSH и OpenSSL, OpenSSL имеет общее с OpenBSD только слово Open в названии. OpenSSL - это форк SSLeay.

     
     
  • 6.63, Куяврик (?), 10:50, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    вы не понимаете. проблема не в Open, проблема в BSD. "профессионалу" из предыдущего поста очень хочется лягнуть OpenBSD, что он и делает. правда "профессионал" прилюдно покрасил штаны в коричневый, но походу это его не смутило.
     
     
  • 7.67, Аноним (-), 11:38, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > "профессионал" прилюдно покрасил штаны в коричневый,

    Это вы наверное о себе. Потому что "профессионалы" от бсдов обычно много о себе мнят но по факту умеют много меньше а громкий пиар оказывается несколько преувеличен по сравнению с серыми буднями.

     
     
  • 8.82, AdVv (ok), 12:25, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http nuclight livejournal com 129457 html... текст свёрнут, показать
     
     
  • 9.85, Аноним (-), 12:56, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ахх нуклайт Эталонный разработчик BSD Способный сделать так что вокруг прое... текст свёрнут, показать
     
     
  • 10.86, AdVv (ok), 13:09, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну в отличии от тебя он имеет смелость подписаться под своим мнением, а уровень ... текст свёрнут, показать
     
     
  • 11.99, Аноним (-), 14:36, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я рад за него Как специалист он хоть и одиозен предвзят но иногда может и дельн... текст свёрнут, показать
     
     
  • 12.138, Аноним (-), 02:31, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы с ним работали Сейчас, кстати, хорошо видно только ваше ЧСВ ... текст свёрнут, показать
     
     
  • 13.143, Аноним (-), 05:10, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я его коменты и посты видел Вполне достаточно Вы не дружите с головой ЧСВ - ... текст свёрнут, показать
     
     
  • 14.203, Аноним (-), 06:29, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мне лениво это комментировать, да и как-то пофигу, nuclight сам ответит, если по... текст свёрнут, показать
     
  • 10.163, Michael Shigorin (ok), 16:56, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вадим -- вполне толковый специалист Со своими тараканами, но кто из нас без то... текст свёрнут, показать
     
  • 8.200, Куяврик (?), 03:17, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дружище, как так получается, профессионал всё перепутал и переврал, а речь - в... текст свёрнут, показать
     
  • 5.162, Michael Shigorin (ok), 16:54, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это вообще фирменный стиль дочерних проектов OpenBSD.

    Можно подробнее?

     
  • 5.211, Kibab (ok), 10:29, 25/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Школота, сначала разберись в разнице между OpenSSL и OpenSSH, а потом придёшь и расскажешь, какое это отношение OpenSSL имеет к OpenBSD :-)
     
  • 2.9, Аноним (-), 23:11, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > мыслей как же в один прекрасный момент может быть страшно от
    > какого-нибудь ИТ-апокалипсиса.

    А теперь ты вообще спать спокойно не сможешь - на ка, почитай тут: http://www.rom.by/blog/Birusy_3G_--_prodolzhenie_versija_ot_Haker

    Как тебе такая красота? Между прочим статья не гон, это ресурс очень компетентных парней по биосам, архитектура сервисного проца названа верно, etc, etc - перец явно в теме ;)

     
     
  • 3.43, G.NercY.uR (?), 05:23, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за ссылку, на самом деле эту статью несколько лет назад уже читал, и очень ею был впечатлён :)
    Интересно, а реально есть такие уже факты как заражение биоса видях или материнок?
     
     
  • 4.47, фклфт (ok), 07:21, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Интересно, а реально есть такие уже факты как заражение биоса видях или
    > материнок?

    Уже к большому сожалению есть


     
     
  • 5.62, Аноним (-), 10:48, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    вас не затруднит предоставить ссылочку для ознакомления?
     
  • 4.90, Аноним (-), 13:52, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так там вполне реальный факт вливки китайозами прямо на фабрике какой-то левой д... текст свёрнут, показать
     
     
  • 5.112, Аноним (-), 16:11, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно и нужно, в отличие от набигаторов-демократоров.
     
     
  • 6.122, Аноним (-), 22:54, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно
    > и нужно, в отличие от набигаторов-демократоров.

    У них достаточно умных голов и грамотных хакеров, в том числе и на службе правительства. Помнится гугл они грамотно взломали и унесли то что их интересовало.

    А насчет не сильно надо - возможность вырубить половину инфраструктуры противника легким движением руки еще никому плохо не делала. А компьютеры нынче рулят много чем. Вырубание большой массы компьютеров по сигналу извне может довольно сильно нагнуть кого угодно. Как вы думаете, что будет делать оголодалое население которое не сможет денег с карточки снять потому что банкоматы и банковские системы дружно легли? Вероятно, начнется массовое мародерство и полный беспредел, как минимум.

     
     
  • 7.129, Аноним (-), 23:39, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    компетенция китайских специалистов не ставится под сомнение соль в том, что за... текст свёрнут, показать
     
     
  • 8.144, Аноним (-), 05:24, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И что Китайцы вполне могли решить проабузить полезную фичу для ненавязчивого ко... текст свёрнут, показать
     
  • 2.65, Влад (??), 11:02, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Открою тайну, серваки в принципе надо периодически апдейтить, ибо багфиксы. В некоторых случаях, как в этом, срочно.
     

     ....большая нить свёрнута, показать (29)

  • 1.4, Аноним (-), 22:19, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >OpenSSL 1.0.1a, 1.0.0i и 0.9.8v

    У меня на дебиан стеблэ стоит 0.9.8o, надеюсь там уязвимости нет.
    В любом случае буду внимательно следить за обновлениями.

     
     
  • 2.5, Аноним (-), 22:24, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    o < v, значит есть.
     
  • 2.11, Аноним (-), 00:32, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня на дебиан стеблэ стоит 0.9.8o, надеюсь там уязвимости нет.

    http://security-tracker.debian.org/tracker/CVE-2012-2110

    Debian/stable package openssl is vulnerable.
    squeeze, squeeze (security) 0.9.8o-4squeeze7 vulnerable

     
     
  • 3.33, Аноним (-), 01:48, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Все, уже прилетели апдейты.
     
     
  • 4.104, Andrey Mitrofanov (?), 14:58, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты того, мон шер, _последи за ними!?
     
     
  • 5.115, Crazy Alex (ok), 16:28, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Здравствуйте, профессор
     
  • 2.36, Xasd (ok), 01:58, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В любом случае буду внимательно следить за обновлениями.

    зачем?

     
     
  • 3.100, Аноним (-), 14:42, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем?

    Чтобы втулить их ASAP, разумеется.

     
  • 2.212, Kibab (ok), 10:31, 25/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > надеюсь

    Дальше не читал

     

  • 1.7, Аноним (-), 23:03, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Упс, вот буллшит то. Эта либа ж в каждой дырке... :\
     
     
     
    Часть нити удалена модератором

  • 3.12, DeadLoco (ok), 00:33, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +12 +/
    По всей видимости, закрытые проприетарные решения с бэкдорами вы считаете лучшей альтернативой опенсорсу, доступному для свободного аудита?

    Я, видимо, совсем ничего не понимаю в этой жизни.

     
  • 3.13, Аноним (-), 00:34, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Я не знаю людей в здравом уме, которые используют openssl. Вы можете
    > баловаться с линуксом , gnu, и тд ,но Криптография - это
    > не та область в которой можно использовать бесплатные решения, созданные в
    > свободное время.

    Вы так говорите, как будто платные продукты за сотни тысяч долларов используют для криптографии что-то, кроме openssl :)

    По факту, практически все современные проприетарные криптографические решения являются форками openssl.

     
     
  • 4.15, Аноним (-), 00:45, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > По факту, практически все современные проприетарные криптографические решения являются форками openssl.

    Причем обновление, исправляющее сабжевую дыру, придет к ним с большим опозданием (если вообще придет).
    И это правильно. Пусть пpыщавые подростки балуются с бесплатными решениями, созданными в свободное время, и остаются неуязвимыми, а "серьезные бизнесмены", поверившие в красивую рекламу, светят своими корпоративными дырками на весь инет. Чем дураков больше - тем их меньше :)

     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 10.101, Аноним (-), 14:55, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ах, 5 лет Это вы наверное о том что софт в винде будет 5 лет с этого дня и даль... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 12.116, Crazy Alex (ok), 16:30, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А вы бы меньше туману напускали да ссыллки на видео часовое клали рабочий день,... текст свёрнут, показать
     
  • 12.123, Аноним (-), 23:00, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Преступление совершают те кто используют прибитое гвоздями к одной системе апи, ... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 14.137, Crazy Alex (ok), 02:29, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чудесно И при чём здесь взлом kernel org Или вы решили всё в одну кучу свалить... текст свёрнут, показать
     
  • 14.142, Аноним (-), 02:59, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    альтернатива есть ... текст свёрнут, показать
     
     
  • 15.165, Michael Shigorin (ok), 17:07, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Есть gnutls http secunia com advisories product 38762 task statistics http ... текст свёрнут, показать
     
     
  • 16.202, Аноним (-), 06:22, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Про gnutls мы знаем, но хотелось бы послушать того человека Интересно же услыша... текст свёрнут, показать
     
     
  • 17.204, Michael Shigorin (ok), 14:04, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, тот человек вчерась упорно гнал и не вменялся Пришлось зачистить ... текст свёрнут, показать
     
  • 4.18, Пользователь Debian (?), 01:15, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    schannel в Microsoft Windows это форк OpenSSL?
     
     
  • 5.25, Аноним (-), 01:30, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы думали, мелкософтовцы сами осилили написать код для криптосистемы? =)
     
  • 5.21, Аноним (-), 01:25, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а ресторанах подают только доширак. По крайней мере, бомжики в нашем подвале так считают.

    Иногда даже доширак лучше того, что подают в ресторанах. Особенно когда повар в плохом настроении постоянно плюется в кастрюли, а официанту не понравился взгляд клиента и он специально вывалял еду по полу :)

    > Если у вас нет денег на хорошую библиотеку - используйте хотя бы cryptlib или царя.

    Зачем, если все то же самое можно получить бесплатно, да еще и со своевременными обновлениями безопасности?

     
     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 12.50, anonymous (??), 07:57, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вы путаете дырки с закладками ... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 14.57, Аноним (57), 10:28, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почти, чаще с именем BackdoorPacketCmdLine http www opennet ru opennews art s... текст свёрнут, показать
     
  • 3.39, Аноним (-), 02:50, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Криптография - это не та область в которой можно использовать закрытый проприета... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 5.59, Кирилл (??), 10:36, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Можно. Садись и проверяй.
     
     
     
    Часть нити удалена модератором

  • 7.81, Кирилл (??), 12:21, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А кто это сказал, что это "закладка"? Очередной проплаченный анонимус?
     
     
     
    Часть нити удалена модератором

  • 9.87, Andrey Mitrofanov (?), 13:38, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Фсмысле Ещё в 2005-ом рекомендовали ставить свежих закладок МВ на службе ... текст свёрнут, показать
     
  • 9.125, Аноним (-), 23:03, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в виндусе каждый месяц пачка апдейтов выполнение кода чинит И ... текст свёрнут, показать
     
  • 5.61, Hety (??), 10:42, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Эта новость прозрачно намекает на то, что таки да, его проверяют.
     
     
     
    Часть нити удалена модератором

  • 7.71, Аноним (-), 11:46, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эта закладка находилась в OpenSSl три с лишним года. Где были все
    > эти проверяльщики?

    Ну вот они пришли. А сколько лет в проприерастии были закладки и просто баги реализации - мы вообще можем и не узнать.

     
     
     
    Часть нити удалена модератором

  • 9.105, Аноним (-), 15:13, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О, надо будет запомнить Годное описание производителей проприетари А на попытк... текст свёрнут, показать
     
  • 8.79, Аноним (-), 12:14, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ты и линуксовое ядро проверить не способен, несмотря на полностью открытый код ... текст свёрнут, показать
     
     
  • 9.91, Кирилл (??), 13:53, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Способен тот, кому это нужно ... текст свёрнут, показать
     
  • 9.97, Аноним (-), 14:18, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Как минимум некоторые автоматические валидации кода и поиск характерных попыток ... текст свёрнут, показать
     
  • 7.73, Аноним (-), 11:48, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Эта закладка находилась в OpenSSl три с лишним года. Где были все
    > эти проверяльщики?

    Клоун, почитай что о закрытом коде в криптографии пишут известные криптографы.

     
     
     
    Часть нити удалена модератором

  • 9.89, Кирилл (??), 13:52, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Профессор защищает свою поляну Но это не отменяет того факта, что SSL -- и Ope... текст свёрнут, показать
     
  • 9.95, Аноним (-), 14:12, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Брюс Шнайер тебя устроит Умный перец, в криптографии шарит хорошо ... текст свёрнут, показать
     
     
  • 10.108, Кирилл (??), 15:29, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Криптография тут не причём ... текст свёрнут, показать
     
     
  • 11.128, Аноним (-), 23:30, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ах, я заметил, вон тот перец просто очередной микрософтовский бот, пытающийся вт... текст свёрнут, показать
     
  • 9.96, Аноним (-), 14:16, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    SSLем вообще пользоваться в его текущей реализации не стоит пользоваться В брау... текст свёрнут, показать
     
     
  • 10.110, Кирилл (??), 15:32, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    SSL себя окончательно и полностью изжил Но в замен ничего столь же массового не... текст свёрнут, показать
     
  • 9.98, Аноним (-), 14:25, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Профессор читающий курс вообще не обязан быть каким-то особо-крутым криптографом... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 11.126, Аноним (-), 23:21, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну круто, да Таненбаум вон тоже книжки пишет О том как не надо писать операц... текст свёрнут, показать
     
  • 9.118, Crazy Alex (ok), 16:37, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А кратко можно Пересмотреть кучу видео ради пары утверждений, когда это далеко ... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 11.120, Crazy Alex (ok), 17:19, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да и так на очереди материалов на год вперёд А всё же - в двух словах можете об... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 13.139, Crazy Alex (ok), 02:35, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так баги везде бывают Но вы тут как-то полунамёками пытаетесь сказать,что ко... текст свёрнут, показать
     
  • 11.127, Аноним (-), 23:26, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А, так вот почему он нападает так избирательно на именно openssl, коммерческий и... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 13.141, Аноним (-), 02:48, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    т е в том, что пишет он багов нет можно ссылочку на исходняки, хочу посмотреть... текст свёрнут, показать
     
  • 13.156, kurokaze (ok), 12:02, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему же у них из разу в раз гуано получается Это риторический вопрос... текст свёрнут, показать
     
     
  • 14.201, Куяврик (?), 03:24, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не хотят напрягаться для разного быдла Сорри, вырвалось ... текст свёрнут, показать
     
     
  • 15.205, Аноним (-), 19:35, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А ты бы стал напрягаться для всяких там манагеров Результат труда тебе не прина... текст свёрнут, показать
     
  • 3.92, Аноним (-), 14:04, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В этой "либе" зарегистрирована каждая возможная дырка, включая экзотические, типа timing attack

    Тайминг-атаки применимы на почти всю криптографию так или иначе, особенно на некоторых наборах данных типа VoIP. Эффективно их заткнуть там - вообще целое отдельное приключение.

     
  • 2.16, Аноним (-), 00:46, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Упс, вот буллшит то. Эта либа ж в каждой дырке... :\

    Не нравится? А вот в gnutls уязвимостей на порядок меньше, да и качество кода повыше.
    Но вот всякие апачи, желающие подстилаться под проприетарщиков, в жизни этого не признают.

     
     
  • 3.44, Аноним (-), 05:48, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это пока ее нигде не юзают. Начнут юзать - вылезит еще и поболее чем тут :(
     
     
  • 4.77, Аноним (-), 12:13, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Наконец-то здравый коммент. Кстати, фраза справедлива и по отношению к secure by design системам. Якобы secure by design.
     

     ....большая нить свёрнута, показать (48)

  • 1.58, Кирилл (??), 10:35, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Гугля планомерно обгаживает SSL, явно с намерением пропихнуть что-то своё взамен. Это ж огромный неокученный пока рынок. В рашке то, скажем, КриптоПро под суетилось, законодательно монополизировав рынок. А Гугля такое же будет пытаться делать, но уже на своём уровне.
     
     
  • 2.83, szh (ok), 12:50, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя больное воображение воспитанное в рашке
    Гугль такие вещи пихает в открытом виде, даже код протокола бесплатно отдавая.
     
     
  • 3.88, Кирилл (??), 13:49, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Гуголь ничего не делает бесплатно. А сложившая инфраструктура массовых крипто-услуг в Интернете сейчас, по сути, бесхозная и уязвимая. Лакомый кусок. И у Гугля сейчас есть все предпосылки, чтобы вклиниться туда со своими решениями. Но для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.
     
     
  • 4.94, Аноним (-), 14:11, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.

    Как минимум реализация ауторитей в SSL натурально никакая. Любой CA может выписать по желанию левой пятки сертификат на что угодно и все посчитают это за чистую монету.

     
  • 4.206, szh (ok), 20:49, 22/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    поиск бесплатен
    хром бесплатен
    андроид бесплатен
    гмейл бесплатен

    P.S. решение гугла не станет универсальным, если не будет бесплатным.

     
     
  • 5.210, Кирилл (??), 10:38, 23/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Всё это оплачивается рекламодателями, а значит опосредованно, через долю на рекламу и продвижение в себестоимости, потребителями.
     

  • 1.114, Аноним (-), 16:18, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.

    http://seclists.org/fulldisclosure/2012/Apr/225:
    > Correct me if I am wrong, but shouldn't this only be a problem on
    > systems where a size_t is wider than an int i.e. not on 32 bit systems?

    No because size_t is unsigned. Some attacks would rely on being 64 like he stated, but not all.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру