OpenForum RSS: Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... https://www.opennet.me/openforum/vsluhforumID3/72569.html Представлены (http://marc.info/?l=openssl-announce&m=128993064807738&w=2) корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8p и 1.0.0b (http://www.openssl.org/) с устранением опасной уязвимости (http://marc.info/?l=openssl-announce&m=128992699401945&w=2), которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере. <br><br><br>Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (http://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%B3%D0%BE%D0%BD%D0%BA%D0%B8) (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel).<br><br>URL: http://marc.info/?l=openssl-announce&m=12899 Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/72569.html#22 Sun, 21 Nov 2010 02:42:57 GMT OpenSSH как я понимаю не дыряв<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (Vladimir) https://www.opennet.me/openforum/vsluhforumID3/72569.html#21 Fri, 19 Nov 2010 12:43:28 GMT А под фряху нет? Че-то я очкую.<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (zazik) https://www.opennet.me/openforum/vsluhforumID3/72569.html#20 Thu, 18 Nov 2010 10:01:49 GMT &gt;&gt;&gt; курьер не многопоточен - так что ему пофиг<br>&gt;&gt; Вот так и перебирай по одной программе. Написали бы список хотя бы<br>&gt;&gt; известных программ.<br>&gt; apt-cache rdepends libssl0.9.8<br>&gt; выводит почти 700 пакетов.<br><br>И многие из них многопоточны?<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (uldus) https://www.opennet.me/openforum/vsluhforumID3/72569.html#19 Thu, 18 Nov 2010 09:04:26 GMT &gt;&gt; курьер не многопоточен - так что ему пофиг<br>&gt; Вот так и перебирай по одной программе. Написали бы список хотя бы<br>&gt; известных программ.<br><br>apt-cache rdepends libssl0.9.8<br>выводит почти 700 пакетов.<br><br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/72569.html#18 Thu, 18 Nov 2010 07:37:47 GMT А в Arch Linux обновление пришло еще вчера (с патчем): http://www.archlinux.org/packages/core/x86_64/openssl/<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (zazik) https://www.opennet.me/openforum/vsluhforumID3/72569.html#17 Thu, 18 Nov 2010 07:16:46 GMT &gt; курьер не многопоточен - так что ему пофиг<br><br>Вот так и перебирай по одной программе. Написали бы список хотя бы известных программ.<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (zazik) https://www.opennet.me/openforum/vsluhforumID3/72569.html#16 Thu, 18 Nov 2010 06:42:42 GMT &gt; так если смотреть и exim не подвержен, и php5 не подвержен, и<br>&gt; perl собранный без тредов...<br>&gt; выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было<br>&gt; на них ориентироваться и решить обновляться и подхватывать свежие баги или<br>&gt; подождать еще.<br><br>Да уж, "огласите весь список, пжалста". А то непонятно, кто конкретно подвержен уязвимости.<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/72569.html#15 Thu, 18 Nov 2010 03:20:39 GMT В Ubuntu уже пришло обновление<br>https://launchpad.net/ubuntu/+source/openssl/0.9.8o-1ubuntu4.2/+changelog<br> Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз... (samm) https://www.opennet.me/openforum/vsluhforumID3/72569.html#14 Wed, 17 Nov 2010 23:07:59 GMT курьер не многопоточен - так что ему пофиг<br>