The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.09.2016 18:31  Обновление OpenSSL с устранением 14 уязвимостей

Доступны корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i, в которых отмечено 14 уязвимостей, одной из них (CVE-2016-6304) присвоен высокий уровень опасности. Уязвимость CVE-2016-6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти.

Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией "no-ocsp". Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках.

В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд.

  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  3. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  4. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  5. OpenNews: Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей
  6. OpenNews: Google перешел c OpenSSL на BoringSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Michael Shigorin, 20:40, 22/09/2016 [ответить] [смотреть все]
  • –4 +/
    http://packages.altlinux.org/openssl10
     
     
  • 2.2, Аноним, 21:22, 22/09/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Возьми с полки пирожок.
     
     
  • 3.4, vantoo, 21:48, 22/09/2016 [^] [ответить] [смотреть все]
  • +1 +/
    Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты вм... весь текст скрыт [показать]
     
     
  • 4.21, Michael Shigorin, 23:57, 23/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    О, а давайте Вы её в исходниках или того почётней -- бинарниках найдёте и всей... весь текст скрыт [показать]
     
  • 2.3, Ilya Indigo, 21:36, 22/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А почему Сизиф, как и остальные ролинги не спешат переходить на 1 1 0 Софт, пре... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, тигар, 22:04, 22/09/2016 [^] [ответить] [смотреть все]  
  • +/
    наверное это сложнее нежели поправить 1-2 байта в файлике по которому миша постр... весь текст скрыт [показать]
     
     
  • 4.6, аноним сегодня, 22:41, 22/09/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    Ну вот, опять наехали на Михаила. Михаил, например, как модератор-информатор очень хорош. Всегда проверяет ip подозрительных авторов перед их удалением и отсылает инфу куда нужно по мере необходимости. Просто немного не совсем своим делом он вдогонку ещё занимается. Пакеты какие-то. Не нужно распыляться, Михаил. Я считаю, каждый должен быть на своём месте.
     
     
  • 5.8, Кулак, 05:42, 23/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Мы еще потерпим, но потом в овощной отдел переместим Михаила.
     
  • 5.16, vantoo, 13:45, 23/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Да он вообще очень трудолюбивый и увлеченный своим делом человек Не раз бывало ... весь текст скрыт [показать]
     
     
  • 6.18, Michael Shigorin, 23:49, 23/09/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    Да Вы, получается, очень трудолюбивый и увлеченный своим делом человек -- причём... весь текст скрыт [показать]
     
     
  • 7.23, Аноним, 02:43, 24/09/2016 [^] [ответить] [смотреть все]  
  • –6 +/
    Дорогой ребенок, когда ты хочешь кого-то опорочить, постарайся после каждого сво... весь текст скрыт [показать]
     
     
  • 8.24, Аноним, 02:44, 24/09/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Написано к http://www.opennet.ru/openforum/vsluhforumID3/109194.html#16
     
     
  • 9.30, тигар, 09:08, 24/09/2016 [^] [ответить] [смотреть все]  
  • +/
    в т н хохлосрачах поищи, я мишку в комментах ютупа видал тоже, например ... весь текст скрыт [показать]
     
  • 9.33, Crazy Alex, 11:02, 25/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты всерьёз предлагаешь эту его хрень собачью коллекционировать?
     
  • 3.9, iPony, 06:19, 23/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну позерство с цифрами - это конечно одно Ну вот в 1 1 в OpenSSL наменяли API... весь текст скрыт [показать]
     
  • 3.13, Аноним, 11:53, 23/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот поэтому nixos / nixpkgs рулит.
     
  • 3.35, Michael Shigorin, 19:23, 26/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Не пришлось долго ждать http www opennet ru opennews art shtml num 45215 Майнт... весь текст скрыт [показать]
     
  • 2.10, Нет, 09:44, 23/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    МЫшленье на марше Два комментария более-менее по сути статьи, остальное - гггг... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Клыкастый, 11:00, 23/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Горящее школоло - неотъемлемая часть опеннета и источник хорошего настроения Я ... весь текст скрыт [показать]
     
     
  • 4.19, Michael Shigorin, 23:51, 23/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну почему, меня же разные люди по разным поводам успешно вразумляли -- помните, ... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 02:48, 24/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Нормально - это когда мнение обоснованно и оппонент готов обосновывать его, а не... весь текст скрыт [показать]
     
  • 4.27, Аноним, 03:09, 24/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Знаешь сколько вас таких, которые не понимают Имя вам - легион Но вместо того,... весь текст скрыт [показать]
     
     
  • 5.34, Клыкастый, 10:21, 26/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Шуток Митрофанова Думаю, хватает Объяснить шутку Даже если её объяснят, она п... весь текст скрыт [показать]
     
  • 3.12, Наркоман, 11:52, 23/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Особенно в комментариях под новостями, связанными с политикой или феминистками з... весь текст скрыт [показать]
     
  • 3.14, тигар, 11:54, 23/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг,
    > ща мы с потсонами с 7Б затралим шыгорина гггг".
    > Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде
    > как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте
    > остальную аудиторию.

    видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl в пределах версии и правда проще, нежели сменить версию openssl. а для "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

     
     
  • 4.20, Michael Shigorin, 23:53, 23/09/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    > видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl
    > в пределах версии и правда проще, нежели сменить версию openssl. а для
    > "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

    Есть ещё моментик насчёт узнать и подготовиться.  Впрочем, фряшный майнтейнер тоже наверняка знал заранее.  Вы -- вряд ли.  А я слышал голосом, но соблюдал эмбарго. :)

    PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  Можете изрядно удивиться по крайней мере по одному случаю.

     
     
  • 5.28, Аноним, 03:16, 24/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Обычно детям категорически не нравится, что говорит Шигорин Оно и понятно, ведь... весь текст скрыт [показать]
     
     
  • 6.32, Michael Shigorin, 12:40, 24/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > Обычно детям категорически не нравится, что говорит Шигорин.

    Значит, надо как-то применяться и к детям, контакт-то и впрямь скорее утерян.

    > Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри.

    Не, "тигар" явно не карапуз, он [I]о[/I]ппонент :)  Но самонадеянный, не в теме, потому и не знает как минимум про не столь давнее изменение форматирование даже старых веток openssl, доставившее немало головняка на ровном месте тем, у кого развесистые патчсеты...

    И чтоб два раза не вставать, отвечу ему сразу на #31, раз сам неспособен спросить altlinux openssl patches у ближайшего поисковива: http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/patches

     
  • 5.31, тигар, 09:15, 24/09/2016 [^] [ответить] [смотреть все]  
  • +/
    > PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  
    > Можете изрядно удивиться по крайней мере по одному случаю.

    svn diff -c414534, примеру. по ports@head.
    в вашем ненужном альте, насколько я помнить, rpm. нужно дофига знаний чтобы в spec файле поменять циферку и пересобраться?:-) или у вас есть рукожо^Wспециалисты, которые падчат опенссл под альт?;)

     
  • 1.7, Аноним, 01:58, 23/09/2016 [ответить] [смотреть все]  
  • –2 +/
    Мыши плакали кололись, но продолжали OpenSSL
     
     
  • 2.17, YetAnotherOnanym, 22:20, 23/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Можно ещё погрызть ободранную до блеска косточку LibreSSL.
     
     
  • 3.26, Аноним, 02:55, 24/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Не понял, а где же комментарии инфантов, что дескать комментатор должен заткнуть... весь текст скрыт [показать]
     
  • 3.29, Аноним, 04:50, 24/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Мсье имеет конкретные претензии, основанные на опыте, или так, слышал звон?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor