OpenForum RSS: Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов https://www.opennet.me/openforum/vsluhforumID3/127023.html Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56863<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (пох.) https://www.opennet.me/openforum/vsluhforumID3/127023.html#12 Thu, 17 Mar 2022 08:28:49 GMT В результате не смогли вычистить ни одной серьезной уязвимости - все они ВНЕЗАПНО оказывались из тех до которых "чистка не дошла". И никогда не дойдет, поскольку нужной квалификацией эти ребята не обладают. <br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Брат Анон) https://www.opennet.me/openforum/vsluhforumID3/127023.html#11 Thu, 17 Mar 2022 05:09:40 GMT Не очевидно. <br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Kuromi) https://www.opennet.me/openforum/vsluhforumID3/127023.html#10 Wed, 16 Mar 2022 21:56:34 GMT Они взяли код OpenSSL и начали его "причесывать" и чистить. Очевидно что уязвимость оказалась в том коде до которого чистка еще не дошла.<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Kuromi) https://www.opennet.me/openforum/vsluhforumID3/127023.html#9 Wed, 16 Mar 2022 21:55:01 GMT Не любой. Тундра например (как и ФФ) использует NSS (собственная разработка Мозиллы) и там не сработает.<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Тот самый) https://www.opennet.me/openforum/vsluhforumID3/127023.html#8 Wed, 16 Mar 2022 20:34:30 GMT &gt;любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку<br><br>С какого перепугу почтовик должен принимать "письма на некорректный ящик и последующим ответом отлупа в обратку"? Это мечта спамеров - готовый релей для рассылки. Отлуп должен быть еще на этапе приема: No such address here<br><br><br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Онаним) https://www.opennet.me/openforum/vsluhforumID3/127023.html#7 Wed, 16 Mar 2022 18:17:09 GMT Не повторяются. Работающих между уровнями привилегий дырок так и нет.<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Alexey) https://www.opennet.me/openforum/vsluhforumID3/127023.html#6 Wed, 16 Mar 2022 17:44:09 GMT Зачем нужен процессор AMD, если в результате эксплоиты повторяются с Intel. Эталонный NIH синдром. Логика какая-то такая.<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (another_one) https://www.opennet.me/openforum/vsluhforumID3/127023.html#5 Wed, 16 Mar 2022 16:59:30 GMT Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).<br> Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п... (Кровосток) https://www.opennet.me/openforum/vsluhforumID3/127023.html#4 Wed, 16 Mar 2022 11:38:11 GMT Верно ли, что любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку на зловредный сервер который предоставит эксплойт-сертификат?<br>