The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление GnuTLS 3.3.3, 3.2.15 и 3.1.25 с устранением серьёзной уязвимости

01.06.2014 21:36

В GnuTLS 3.3.3, 3.2.15 и 3.1.25, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена опасная уязвимость (CVE-2014-3466). Проблема проявляется только при использовании библиотеки в клиентских системах при попытке установки защищённого соединения с сервером, подконтрольным злоумышленнику.

Уязвимость вызвана отсутствием корректной проверки размера идентификатора сеанса в функциях read_server_hello() и _gnutls_read_server_hello(), которые используются для обработки сообщения ServerHello в процессе установки защищённого соединения. Отправка сервером пакета со слишком большим идентификатором может привести к повреждению областей памяти приложения. Не исключается возможность использования уязвимости для организации выполнения кода атакующего.

Также можно отметить выпуск используемой в GnuTLS библиотеки Libtasn1 3.6, в котором устранены три уязвимости (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Уязвимости могут привести к краху приложения при обработке специально скомпонованных данных в формате ASN.1. Кроме того, компания Red Hat обратила внимание на уязвимость (CVE-2014-3465) в GnuTLS, которая может привести к разыменованию NULL-указателя и краху приложения при обработке x509-сертификата с некорректным OID-идентификатором. Проблема была устранена 4 месяца назад в выпусках GnuTLS 3.1.20 и 3.2.10 без публикации отчёта об уязвимости.

Дополнение: опубликован анализ возможности эксплуатации уязвимости CVE-2014-3466 в GnuTLS, который показал реальность создания эксплоита для организации выполнения кода.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
  3. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  4. OpenNews: Обновление GnuTLS 3.1.21 и 3.2.11 с устранением уязвимости
  5. OpenNews: Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39901-gnutls
Ключевые слова: gnutls
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:55, 01/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > серьёзной уязвимости

    нужно срочно менять весь штат погромиздов openssl и gnutls.

     
     
  • 2.2, Анонимный (?), 22:57, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Нужно менять няшную сишечку на более безопасный язык.
     
     
  • 3.3, Аноним (-), 23:00, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • –8 +/
    тоже верно
     
     
  • 4.25, Адекват (ok), 08:49, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +19 +/
    > тоже верно

    Хуерно, все такие не купаться прям иксперты - программисты ssl/tls у них бдылокодеры, СИ понимаешь плохой, сами только на опеннете могут онанировать, зато совершенно точно сказали в чем порблема.

     
     
  • 5.39, Аноним (-), 15:45, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    я ващет ядро разрабатываю
     
     
  • 6.51, Sluggard (ok), 20:47, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Пушечное, видимо.
     
  • 5.46, Аноним (-), 17:25, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    АНБ опенчует.
    Опять же, ведроиды рутовать можно.
     
  • 3.5, Inome (ok), 23:40, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Например такой как C# или Java, которые убивают процентов так 25 общей производительности программы ? Набыдлокодить можно на любом языке, главное уметь вовремя найти этот код и исправить его. Ваш аргумент не может быть причиной перехода с более-менее идеального языка на всякие там изделия оряклятины и мекрософта.
     
     
  • 4.6, Анонимный (?), 23:49, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "А 1000 знаков в минуту можете? - Могу, но такая фигня получается..."
     
  • 4.7, rob pike (?), 23:55, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну почему же обязательно C# или Java. OCaml например - хороший безопасный Си-заменитель. Там есть, конечно, некоторое количество функциональных фишечек, но пользоваться ими необязательно.

    Кстати, по поводу производительности - вы плохо себе представляете среднестатистический код на Си, с которым и хороший компилятор мало что может сделать, кроме застрелиться от огорчения. Можно вытянуть на Си и поболее 25 процентов относительно .Net или JVM, но это хорошо умея, хорошо понимая, и аккуратно измеряя - что в природе почти не встречается.

     
     
  • 5.13, Inome (ok), 00:46, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Посмотрел синтаксис вашего OCaml и подумал пор себя "Уж лучше тогда уже пожертвовать производительностью. чем писать на перле"
    О производительности я я сужу по работе программ в целом, как работает та или иная программа, которая выполняет одно и то-же действие или конкретный алгоритм на разных ЯП. Сравнения производительности различных ЯП можно найти в той-же сети :)
     
     
  • 6.15, rob pike (?), 01:23, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это вы смотрели в стандартное "OCaml - это такой лиспохаскель, сейчас мы вам расскажем про сладкие монадки", а я ведь заранее предупредил.

    > лучше тогда уже пожертвовать производительностью. чем писать на перле

    В 2014 году писать на перле и жертвовать производительностью - это одно и то же. А так-то с ним всё хорошо, даже вот и монадки есть, если кому надо - http://9ch.in/monads/

    > Сравнения производительности различных ЯП можно найти в той-же сети

    Так вот у OCaml с ней всё как раз очень хорошо. Разве что GC не параллелится по ядрам, ну так в Си его вообще нет.

     
     
  • 7.16, Inome (ok), 01:56, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не смотрел примеры программ на этом языке, но тут с невооруженного взгляда видно, что он из разряда языков, синтаксис у которых такой-же страшный, как у перла, возможно даже более прогрессивный чем перл в плане запутанности. Честно говоря даже не представляю, как должен будет перевернуться мир, чтобы он вытеснил Си, хоть в чем-то :)
    >> Так вот у OCaml с ней всё как раз очень хорошо. Разве что GC не параллелится по ядрам, ну так в Си его вообще нет.

    В языке, которым управляет только лишь программист и только от него зависит результат выполнения программы, этого и не нужно

     
     
  • 8.17, rob pike (?), 02:20, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Замечательная фраза Сразу вспоминается Пастернак У перла синтаксис Си-подобный... текст свёрнут, показать
     
     
  • 9.18, Inome (ok), 02:32, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы случаем не забыли, как вообще выглядит синтаксис Си, может всё-таки посмотрит... текст свёрнут, показать
     
     
  • 10.19, rob pike (?), 02:51, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вы не собираетесь начать различать смысл слов подобный и идентичный cita... текст свёрнут, показать
     
     
  • 11.20, Perl_Jam (?), 03:08, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    господа, может вы перестанете если кто-то неумеет готовить си, ссзб, он и на бе... текст свёрнут, показать
     
     
  • 12.21, rob pike (?), 03:30, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так практически никто и не умеет И, к сожалению, ЗБ он не только СС, а и пользо... текст свёрнут, показать
     
     
  • 13.22, rob pike (?), 03:31, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Оверквотингом было сочтено вот что ... текст свёрнут, показать
     
  • 12.40, Inome (ok), 16:01, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А вы Вы когда-нибудь решали какие-либо задачки по программированию на олимпиад... текст свёрнут, показать
     
     
  • 13.44, rob pike (?), 16:54, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А мы различаем Поэтому употребили термин Си-подобный , а не какой-либо иной Е... большой текст свёрнут, показать
     
     
  • 14.47, Inome (ok), 18:04, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если бы различали, язык бы не повернулся назвать перл - Си подобным языком Я пр... большой текст свёрнут, показать
     
     
  • 15.49, rob pike (?), 18:39, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Я не называл перл Си-подобным языком Это могло бы вас смутить Я лишь напомнил ... текст свёрнут, показать
     
     
  • 16.57, Inome (ok), 15:11, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, но вы точно правильно воспринимаете мои посты Я вас попросил мне дат... большой текст свёрнут, показать
     
  • 13.52, Elhana (ok), 02:26, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На си так тоже можно long long n,u,m,b main e,r char r f or n 124 124... текст свёрнут, показать
     
     
  • 14.55, Llvmn (?), 11:33, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все эти примеры можно разобрать на составные части простым форматером текста и п... текст свёрнут, показать
     
  • 14.59, ytnbtnbtn (?), 19:11, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    or n 124 124 e getchar 124 32 0 b ynwtsflrabg n 11 -e b b 8 Это ... текст свёрнут, показать
     
     
  • 15.61, Inome (ok), 20:23, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В Си можно всё , но кое-что просто не нужно делать, например это ... текст свёрнут, показать
     
  • 13.58, Аноним (-), 15:11, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Эммм ... текст свёрнут, показать
     
  • 11.48, Аноним (-), 18:22, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https www linux org ru forum development 10452829 page5 Тут конечно некислая д... текст свёрнут, показать
     
     
  • 12.50, rob pike (?), 18:40, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, веселый тред А пальцем можно показать где gcc вычеркивает вручную сдел... текст свёрнут, показать
     
     
  • 13.53, Elhana (ok), 02:48, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Просто есть большой шанс, что ваши вручную сделанные оптимизации на асме будут р... текст свёрнут, показать
     
     
  • 14.54, rob pike (?), 04:02, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это я и пытался товарищу объяснить Но безуспешно, разумеется ... текст свёрнут, показать
     
  • 5.26, sorrymak (ok), 08:50, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > OCaml например

    Или Genie.

     
     
  • 6.45, rob pike (?), 16:55, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А он там вообще живой? Палочкой тыкали?
     
  • 5.32, Аноним (-), 10:15, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > безопасный Си-заменитель

    Как резиновая женщина?

     
  • 4.30, Аноним (-), 09:39, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > убивают процентов так 25 общей производительности программы

    И тут ты такой с пруфами.

     
     
  • 5.56, burjui (ok), 14:29, 03/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В случает Java пруфом является наличие VM. 25% там или нет, но невозможно заставить код в VM работать на той же скорости, что и идентичный по функциональности нативный код.
     
  • 4.35, Mr. Cake (?), 11:25, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На самом деле C#, Java и вообще любой язык с промежуточным представлением и JIT-компилятором можно весьма ощутимо ускорить, если выкинуть жрущие те самые проценты производительности переходы в ядро (а это не только стек, но и состояние MMU, что _дорого_) и обратно на каждом syscall-е и переключении контекста потока. Ведь если есть изоляция на уровне "виртуальной машины" ничего не мешает эту "виртуальную машину" держать в пространстве ядра. Были даже какие-то экспериментальные ОС (в основном на шарпе, он, как ни странно, несколько лучше подходит для системного программирования за счёт того что стековые структуры и указатели там таки есть) реализующие эту идею.
     
  • 3.9, Инкот (?), 23:57, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Например, Ада, Модула-2 - хорошие кандидаты для написания надёжного ПО
     
     
  • 4.11, rob pike (?), 00:15, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж на Coq или Agda, если о заведомой фантастике. Или на Charity, чтоб уж сразу.
     
     
  • 5.33, Аноним (-), 10:45, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда уж на Coq или Agda, если о заведомой фантастике. Или на
    > Charity, чтоб уж сразу.

    Как бездарно ты разбазариваешь свою эрудицию!

     
     
  • 6.38, rob pike (?), 13:41, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хотите записаться на платную консультацию?
    Скажите прямо, кого нам стесняться.
     
  • 4.14, Inome (ok), 00:48, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нэт! Си - стандарт программирования
     
     
  • 5.27, sorrymak (ok), 08:52, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Был. Когда-то.
     
  • 3.10, Аноним (-), 00:01, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Нужно менять няшную сишечку на более безопасный язык.

    Нет! Нужно менять подход к делу.

     
     
  • 4.12, lucentcode (ok), 00:26, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Все люди склонны ошибаться. И никакое тестирование, а так-же различные методы анализа кода, не уберегут достаточно большой и сложный проект от ошибок. К сожалению, пока не изобрели ИИ, ошибки подобного рода будут всегда и в любом сложном ПО. Хотите большей надёжности - придётся жертвовать производительность.
     
     
  • 5.23, Аноним (-), 03:35, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если ставить практическую задачу научиться строить безопасные системы на Си, то ... большой текст свёрнут, показать
     
  • 3.28, еще 1 аноним (?), 09:06, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>Нужно менять няшную сишечку на более безопасный язык.

    Надо менять прокладку между сиденьем и клавиатурой, раз не могут пользоваться таким гибким языком, а Перекладывание ответственности на инструмент говорит лишь о дилетантстве в данной области.

     
  • 2.8, rob pike (?), 23:57, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так уже озаботились.
    "Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов" - http://www.opennet.ru/opennews/art.shtml?num=39885
     
     
  • 3.29, Andrey Mitrofanov (?), 09:23, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так уже озаботились.

    Там не _меняют. Там платят тем, что есть и _добавляют новых.

    Чтоб поменяли, надо Майкрософту ещё больше денег дать (намёк Анониму#1), а уж они тогда...

     
     
  • 4.34, rob pike (?), 11:24, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну нельзя ж так сразу людей выгонять.
    Сначала аудит, а потом уж оргвыводы, по результатам аудита.
     
     
  • 5.36, Andrey Mitrofanov (?), 12:54, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну нельзя ж так сразу людей выгонять.
    > Сначала аудит, а потом уж оргвыводы, по результатам аудита.

    Выгонять нельзя. Только не потому, почему ты думаешь. Они там все - добровольцы, во-первых. А во-вторых, число этих добровольцев и так ограничено, чтобы их гнать.

    Может быть, кроме тех друх несчастных, которым МС подрядилась платить. И не добровольцы, и погонит их МС в любой момент, и набрать по объявлению -- без ограничения. И спасибо МС за наш счастливый опен-эс-эс-элинг.

     
     
  • 6.37, rob pike (?), 13:40, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну так по-добровольчески попробовали уже - известно что получилось.
    Теперь посмотрим что получится по-человечески, за деньги.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру