Обновление GnuTLS 3.3.3, 3.2.15 и 3.1.25 с устранением серьёзной уязвимости

01.06.2014 21:36

В GnuTLS 3.3.3, 3.2.15 и 3.1.25, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена опасная уязвимость (CVE-2014-3466). Проблема проявляется только при использовании библиотеки в клиентских системах при попытке установки защищённого соединения с сервером, подконтрольным злоумышленнику.

Уязвимость вызвана отсутствием корректной проверки размера идентификатора сеанса в функциях read_server_hello() и _gnutls_read_server_hello(), которые используются для обработки сообщения ServerHello в процессе установки защищённого соединения. Отправка сервером пакета со слишком большим идентификатором может привести к повреждению областей памяти приложения. Не исключается возможность использования уязвимости для организации выполнения кода атакующего.

Также можно отметить выпуск используемой в GnuTLS библиотеки Libtasn1 3.6, в котором устранены три уязвимости (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Уязвимости могут привести к краху приложения при обработке специально скомпонованных данных в формате ASN.1. Кроме того, компания Red Hat обратила внимание на уязвимость (CVE-2014-3465) в GnuTLS, которая может привести к разыменованию NULL-указателя и краху приложения при обработке x509-сертификата с некорректным OID-идентификатором. Проблема была устранена 4 месяца назад в выпусках GnuTLS 3.1.20 и 3.2.10 без публикации отчёта об уязвимости.

Дополнение: опубликован анализ возможности эксплуатации уязвимости CVE-2014-3466 в GnuTLS, который показал реальность создания эксплоита для организации выполнения кода.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/39901-gnutls

Ключевые слова: gnutls

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (54)

1.1, Аноним (-), 22:55, 01/06/2014 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> серьёзной уязвимости нужно срочно менять весь штат погромиздов openssl и gnutls.

2.2, Анонимный (?), 22:57, 01/06/2014 [^] [^^] [^^^] [ответить]	–7 +/–
Нужно менять няшную сишечку на более безопасный язык.

3.3, Аноним (-), 23:00, 01/06/2014 [^] [^^] [^^^] [ответить]	–8 +/–
тоже верно

4.25, Адекват (ok), 08:49, 02/06/2014 [^] [^^] [^^^] [ответить]	+19 +/–
> тоже верно Хуерно, все такие не купаться прям иксперты - программисты ssl/tls у них бдылокодеры, СИ понимаешь плохой, сами только на опеннете могут онанировать, зато совершенно точно сказали в чем порблема.

5.39, Аноним (-), 15:45, 02/06/2014 [^] [^^] [^^^] [ответить]	–3 +/–
я ващет ядро разрабатываю

6.51, Sluggard (ok), 20:47, 02/06/2014 [^] [^^] [^^^] [ответить]	+7 +/–
Пушечное, видимо.

5.46, Аноним (-), 17:25, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
АНБ опенчует. Опять же, ведроиды рутовать можно.

3.5, Inome (ok), 23:40, 01/06/2014 [^] [^^] [^^^] [ответить]	+10 +/–
Например такой как C# или Java, которые убивают процентов так 25 общей производительности программы ? Набыдлокодить можно на любом языке, главное уметь вовремя найти этот код и исправить его. Ваш аргумент не может быть причиной перехода с более-менее идеального языка на всякие там изделия оряклятины и мекрософта.

4.6, Анонимный (?), 23:49, 01/06/2014 [^] [^^] [^^^] [ответить]	+/–
"А 1000 знаков в минуту можете? - Могу, но такая фигня получается..."

4.7, rob pike (?), 23:55, 01/06/2014 [^] [^^] [^^^] [ответить]	–4 +/–
Ну почему же обязательно C# или Java. OCaml например - хороший безопасный Си-заменитель. Там есть, конечно, некоторое количество функциональных фишечек, но пользоваться ими необязательно. Кстати, по поводу производительности - вы плохо себе представляете среднестатистический код на Си, с которым и хороший компилятор мало что может сделать, кроме застрелиться от огорчения. Можно вытянуть на Си и поболее 25 процентов относительно .Net или JVM, но это хорошо умея, хорошо понимая, и аккуратно измеряя - что в природе почти не встречается.

5.13, Inome (ok), 00:46, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Посмотрел синтаксис вашего OCaml и подумал пор себя "Уж лучше тогда уже пожертвовать производительностью. чем писать на перле" О производительности я я сужу по работе программ в целом, как работает та или иная программа, которая выполняет одно и то-же действие или конкретный алгоритм на разных ЯП. Сравнения производительности различных ЯП можно найти в той-же сети :)

6.15, rob pike (?), 01:23, 02/06/2014 [^] [^^] [^^^] [ответить]

–2 +/–

Это вы смотрели в стандартное "OCaml - это такой лиспохаскель, сейчас мы вам расскажем про сладкие монадки", а я ведь заранее предупредил.

> лучше тогда уже пожертвовать производительностью. чем писать на перле

В 2014 году писать на перле и жертвовать производительностью - это одно и то же. А так-то с ним всё хорошо, даже вот и монадки есть, если кому надо - http://9ch.in/monads/

> Сравнения производительности различных ЯП можно найти в той-же сети

Так вот у OCaml с ней всё как раз очень хорошо. Разве что GC не параллелится по ядрам, ну так в Си его вообще нет.

7.16, Inome (ok), 01:56, 02/06/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Я не смотрел примеры программ на этом языке, но тут с невооруженного взгляда видно, что он из разряда языков, синтаксис у которых такой-же страшный, как у перла, возможно даже более прогрессивный чем перл в плане запутанности. Честно говоря даже не представляю, как должен будет перевернуться мир, чтобы он вытеснил Си, хоть в чем-то :) >> Так вот у OCaml с ней всё как раз очень хорошо. Разве что GC не параллелится по ядрам, ну так в Си его вообще нет. В языке, которым управляет только лишь программист и только от него зависит результат выполнения программы, этого и не нужно

8.17, rob pike (?), 02:20, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Замечательная фраза Сразу вспоминается Пастернак У перла синтаксис Си-подобный... текст свёрнут, показать

9.18, Inome (ok), 02:32, 02/06/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Вы случаем не забыли, как вообще выглядит синтаксис Си, может всё-таки посмотрит... текст свёрнут, показать

10.19, rob pike (?), 02:51, 02/06/2014 [^] [^^] [^^^] [ответить]	–1 +/–
А вы не собираетесь начать различать смысл слов подобный и идентичный cita... текст свёрнут, показать

11.20, Perl_Jam (?), 03:08, 02/06/2014 [^] [^^] [^^^] [ответить]	–1 +/–
господа, может вы перестанете если кто-то неумеет готовить си, ссзб, он и на бе... текст свёрнут, показать

12.21, rob pike (?), 03:30, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Так практически никто и не умеет И, к сожалению, ЗБ он не только СС, а и пользо... текст свёрнут, показать

13.22, rob pike (?), 03:31, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Оверквотингом было сочтено вот что ... текст свёрнут, показать

12.40, Inome (ok), 16:01, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
А вы Вы когда-нибудь решали какие-либо задачки по программированию на олимпиад... текст свёрнут, показать

13.44, rob pike (?), 16:54, 02/06/2014 [^] [^^] [^^^] [ответить]	–2 +/–
А мы различаем Поэтому употребили термин Си-подобный , а не какой-либо иной Е... большой текст свёрнут, показать

14.47, Inome (ok), 18:04, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Если бы различали, язык бы не повернулся назвать перл - Си подобным языком Я пр... большой текст свёрнут, показать

15.49, rob pike (?), 18:39, 02/06/2014 [^] [^^] [^^^] [ответить]	–5 +/–
Я не называл перл Си-подобным языком Это могло бы вас смутить Я лишь напомнил ... текст свёрнут, показать

16.57, Inome (ok), 15:11, 03/06/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Простите, но вы точно правильно воспринимаете мои посты Я вас попросил мне дат... большой текст свёрнут, показать

13.52, Elhana (ok), 02:26, 03/06/2014 [^] [^^] [^^^] [ответить]	+1 +/–
На си так тоже можно long long n,u,m,b main e,r char r f or n 124 124... текст свёрнут, показать

14.55, Llvmn (?), 11:33, 03/06/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Все эти примеры можно разобрать на составные части простым форматером текста и п... текст свёрнут, показать

14.59, ytnbtnbtn (?), 19:11, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
or n 124 124 e getchar 124 32 0 b ynwtsflrabg n 11 -e b b 8 Это ... текст свёрнут, показать

15.61, Inome (ok), 20:23, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
В Си можно всё , но кое-что просто не нужно делать, например это ... текст свёрнут, показать

13.58, Аноним (-), 15:11, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
Эммм ... текст свёрнут, показать

11.48, Аноним (-), 18:22, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
https www linux org ru forum development 10452829 page5 Тут конечно некислая д... текст свёрнут, показать

12.50, rob pike (?), 18:40, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Спасибо, веселый тред А пальцем можно показать где gcc вычеркивает вручную сдел... текст свёрнут, показать

13.53, Elhana (ok), 02:48, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
Просто есть большой шанс, что ваши вручную сделанные оптимизации на асме будут р... текст свёрнут, показать

14.54, rob pike (?), 04:02, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
Это я и пытался товарищу объяснить Но безуспешно, разумеется ... текст свёрнут, показать

5.26, sorrymak (ok), 08:50, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
> OCaml например Или Genie.

6.45, rob pike (?), 16:55, 02/06/2014 [^] [^^] [^^^] [ответить]	–1 +/–
А он там вообще живой? Палочкой тыкали?

5.32, Аноним (-), 10:15, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
> безопасный Си-заменитель Как резиновая женщина?

4.30, Аноним (-), 09:39, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
> убивают процентов так 25 общей производительности программы И тут ты такой с пруфами.

5.56, burjui (ok), 14:29, 03/06/2014 [^] [^^] [^^^] [ответить]	+/–
В случает Java пруфом является наличие VM. 25% там или нет, но невозможно заставить код в VM работать на той же скорости, что и идентичный по функциональности нативный код.

4.35, Mr. Cake (?), 11:25, 02/06/2014 [^] [^^] [^^^] [ответить]	–1 +/–
На самом деле C#, Java и вообще любой язык с промежуточным представлением и JIT-компилятором можно весьма ощутимо ускорить, если выкинуть жрущие те самые проценты производительности переходы в ядро (а это не только стек, но и состояние MMU, что _дорого_) и обратно на каждом syscall-е и переключении контекста потока. Ведь если есть изоляция на уровне "виртуальной машины" ничего не мешает эту "виртуальную машину" держать в пространстве ядра. Были даже какие-то экспериментальные ОС (в основном на шарпе, он, как ни странно, несколько лучше подходит для системного программирования за счёт того что стековые структуры и указатели там таки есть) реализующие эту идею.

3.9, Инкот (?), 23:57, 01/06/2014 [^] [^^] [^^^] [ответить]	+/–
Например, Ада, Модула-2 - хорошие кандидаты для написания надёжного ПО

4.11, rob pike (?), 00:15, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Тогда уж на Coq или Agda, если о заведомой фантастике. Или на Charity, чтоб уж сразу.

5.33, Аноним (-), 10:45, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
> Тогда уж на Coq или Agda, если о заведомой фантастике. Или на > Charity, чтоб уж сразу. Как бездарно ты разбазариваешь свою эрудицию!

6.38, rob pike (?), 13:41, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Хотите записаться на платную консультацию? Скажите прямо, кого нам стесняться.

4.14, Inome (ok), 00:48, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Нэт! Си - стандарт программирования

5.27, sorrymak (ok), 08:52, 02/06/2014 [^] [^^] [^^^] [ответить]	–6 +/–
Был. Когда-то.

3.10, Аноним (-), 00:01, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
>Нужно менять няшную сишечку на более безопасный язык. Нет! Нужно менять подход к делу.

4.12, lucentcode (ok), 00:26, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Все люди склонны ошибаться. И никакое тестирование, а так-же различные методы анализа кода, не уберегут достаточно большой и сложный проект от ошибок. К сожалению, пока не изобрели ИИ, ошибки подобного рода будут всегда и в любом сложном ПО. Хотите большей надёжности - придётся жертвовать производительность.

5.23, Аноним (-), 03:35, 02/06/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Если ставить практическую задачу научиться строить безопасные системы на Си, то ... большой текст свёрнут, показать

3.28, еще 1 аноним (?), 09:06, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
>>Нужно менять няшную сишечку на более безопасный язык. Надо менять прокладку между сиденьем и клавиатурой, раз не могут пользоваться таким гибким языком, а Перекладывание ответственности на инструмент говорит лишь о дилетантстве в данной области.

2.8, rob pike (?), 23:57, 01/06/2014 [^] [^^] [^^^] [ответить]	+/–
Так уже озаботились. "Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов" - http://www.opennet.ru/opennews/art.shtml?num=39885

3.29, Andrey Mitrofanov (?), 09:23, 02/06/2014 [^] [^^] [^^^] [ответить]

+1 +/–

> Так уже озаботились.

Там не _меняют. Там платят тем, что есть и _добавляют новых.

Чтоб поменяли, надо Майкрософту ещё больше денег дать (намёк Анониму#1), а уж они тогда...

4.34, rob pike (?), 11:24, 02/06/2014 [^] [^^] [^^^] [ответить]	+/–
Ну нельзя ж так сразу людей выгонять. Сначала аудит, а потом уж оргвыводы, по результатам аудита.

5.36, Andrey Mitrofanov (?), 12:54, 02/06/2014 [^] [^^] [^^^] [ответить]

+/–

> Ну нельзя ж так сразу людей выгонять.
> Сначала аудит, а потом уж оргвыводы, по результатам аудита.

Выгонять нельзя. Только не потому, почему ты думаешь. Они там все - добровольцы, во-первых. А во-вторых, число этих добровольцев и так ограничено, чтобы их гнать.

Может быть, кроме тех друх несчастных, которым МС подрядилась платить. И не добровольцы, и погонит их МС в любой момент, и набрать по объявлению -- без ограничения. И спасибо МС за наш счастливый опен-эс-эс-элинг.

6.37, rob pike (?), 13:40, 02/06/2014 [^] [^^] [^^^] [ответить]	–3 +/–
Ну так по-добровольчески попробовали уже - известно что получилось. Теперь посмотрим что получится по-человечески, за деньги.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: