https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена (http://seclists.org/oss-sec/2017/q2/145) уязвимость (CVE-2017-8301 (https://security-tracker.debian.org/tracker/CVE-2017-8301)), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx (https://trac.nginx.org/nginx/ticket/1257) и IRC-сервер InspIRCd (https://github.com/inspircd/inspircd/blob/5366dd2abd8fdeecf4a6ff173faf1f241d185628/src/modules/extra/m_ssl_openssl.cpp#L536). Уязвимость выявлена разработчиками дистрибутива Alpine Linux.<br><br><br><br>Проблема проявляется начиная с выпуска LibreSSL (http://www.libressl.org/) 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится (https://github.com/libressl-portable/portable/issues/307#issuecomment-297469867) в процессе разработки. Подключение с некорректным сертификатом возможно только если https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#34 Thu, 04 May 2017 11:33:44 GMT &gt; жаль тут нет лайков <br><br>а нет, есть, затупил<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#33 Thu, 04 May 2017 11:32:10 GMT жаль тут нет лайков<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#32 Tue, 02 May 2017 08:49:58 GMT &gt; оно затрагивает только portable версию, или родную тоже?<br><br>-/* $OpenBSD: x509_vfy.c,v 1.57 2017/01/20 00:37:40 beck Exp $ */<br>+/* $OpenBSD: x509_vfy.c,v 1.58 2017/01/21 01:07:25 beck Exp $ */<br><br>собственно, было бы исключительно странно увидеть в portable хоть что-то, меняющее логику работы, не позаимствованное из первоисточника.<br><br>ну а что они там все еще спят, говорит все о том же - не надо это использовать, не надо.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#31 Mon, 01 May 2017 16:15:20 GMT что за... при чем тут механизм проверки сертификата? каким интересно образом эта уязвимость позволяет слить инфу?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#30 Sat, 29 Apr 2017 16:59:10 GMT &gt; этого мало? а ведь "проект" только-только начался!<br><br>э... проект начался пять лет назад, если мне память не изменяет.<br>(три если portable версию рассматривать как что-то отдельное, а не как libtoolize запущенный в скопированных в сторонку исходниках. Во всяком случае, у меня есть пакет, собранный летом 2014, и это не версия 0.0)<br><br>Вот что за все пять лет не было ни одной серьезной проблемы в форкнутой версии openssl, не унаследованной этим продуктом артели "напрасный труд" - это да, внушаить. (в более новых были, и это как раз нормально - они-то развиваются, а не "выбрасывают ненужное")<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#29 Sat, 29 Apr 2017 16:50:40 GMT &gt; с такими же привычками, понятиями и приоритетами<br><br>было б "с такими же" - нужно было сделать форк форка и насажать в нем своих, уникальных, грабель (не забыв поливать всходы абсолютно всех штатных).<br>Видимо, все же, что-то отличается, в лучшую сторону.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#28 Sat, 29 Apr 2017 12:42:21 GMT Уязвимость в форке сделанном, чтобы избавиться от уязвимостей. Эпично!<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#27 Sat, 29 Apr 2017 11:42:32 GMT &gt; этого мало? а ведь "проект" только-только начался!<br><br>LibreSSL != LibreSSL portable<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111115.html#26 Sat, 29 Apr 2017 11:41:49 GMT неудивительно - apline linux, это linux, основанный на культуре OpenBSD, с такими же привычками, понятиями и приоритетами<br>