forum.opennet.ru - "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
Сообщение от opennews (??) on 08-Янв-12, 23:09
Несколько недавно найденных уязвимостей: - В корректирующих выпусках библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8s и 1.0.0f (http://openssl.org) устранено 6 уязвимостей (http://openssl.org/news/secadv_20120104.txt), среди которых: - возможность реализации тайминг атаки (http://www.isg.rhul.ac.uk/~kp/dtls.pdf) по восстановлению части данных, зашифрованных использованием CBC-режима шифрования DTLS (Datagram Transport Layer Security); - отсутствие корректной очистки буфера для блочного шифра SSL 3.0 может привести к передаче 15 байт неинициализированной памяти; - возможность совершения DoS-атаки через передачу специально оформленных данных в сертификате RFC 3779 (проявляется только при активации отключенной по умолчанию опции "enable-rfc3779"); - DoS-атака через манипуляции с обновлением соединения Server Gated Cryptograpy (SGC); - инициирование краха процесса через отправку TLS-клиентом специально оформленных параметров GOST; - двойное освобожд... URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=32755
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 23:09 , 08-Янв-12, (1)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 23:14 , 08-Янв-12, (2) +3
Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 23:50 , 08-Янв-12, (6)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 16:38 , 09-Янв-12, (11) –1

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..., arisu, 22:10 , 09-Янв-12, (12) +1

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..., hizel, 13:45 , 20-Янв-12, (16)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..., arisu, 18:48 , 20-Янв-12, (17)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 12:18 , 09-Янв-12, (9)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., paulus, 23:39 , 08-Янв-12, (3) –4

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., fyjybvec, 23:47 , 08-Янв-12, (4) +3
Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 07:22 , 09-Янв-12, (7) +1

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., paulus, 23:49 , 08-Янв-12, (5) –2

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Сергей, 15:48 , 10-Янв-12, (14)

Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..., Аноним, 23:32 , 10-Янв-12, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +/–

Сообщение от Аноним (??) on 08-Янв-12, 23:09

Если в GNU telnetd нашли туже ошибку, что и в более старом BSD telnetd, то в GNU получается скопипастили код и втихую поменяли лицензию ? Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +3 +/–

Сообщение от Аноним (??) on 08-Янв-12, 23:14

Разобрался
Патч к BSD

--- contrib/telnet/libtelnet/encrypt.c    (revision 228798)
+++ contrib/telnet/libtelnet/encrypt.c    (working copy)
@@ -721,6 +721,9 @@
    int dir = kp->dir;
    int ret = 0;

+    if (len > MAXKEYLEN)
+        len = MAXKEYLEN;
+
    if (!(ep = (*kp->getcrypt)(*kp->modep))) {
        if (len == 0)
            return;

Патч к GNU

--- a/libtelnet/encrypt.c
+++ b/libtelnet/encrypt.c
@@ -796,6 +796,9 @@ encrypt_keyid (kp, keyid, len)
   int dir = kp->dir;
   register int ret = 0;

+  if (len > MAXKEYLEN)
+    len = MAXKEYLEN;
+
   if (!(ep = (*kp->getcrypt) (*kp->modep)))
     {
       if (len == 0)
Даже номера строк почти совпадают. Короче и там и там копипаст из heimdal, который  под лицензией MIT.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +/–

Сообщение от Аноним (??) on 08-Янв-12, 23:50

Код BSD можно даже закрыть и сделать пиппитиарное ПО на его основе. Чего уж говорить о GPL.
Вот наоборот, GPL->BSD, нельзя. Поэтому BSDшники часто страдают болезнью на религиозной почве. Называется она "перепиши GPL-программу под BSD".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." –1 +/–

Сообщение от Аноним (??) on 09-Янв-12, 16:38

закрыть без указания автора нельзя.
Сменить лицензию с BSD на  GPL тоже нельзя - можно в GPL проект вставить файлы с лицензией BSD.
и того - на лицо не знание матчасти.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..." +1 +/–

Сообщение от arisu (ok) on 09-Янв-12, 22:10

> закрыть без указания автора нельзя.
да? пруф. redistribution != derived work.
> Сменить лицензию с BSD на  GPL тоже нельзя
да? пруф. можно добавить после BSDL GPL — и опа! программа, фактически, становится GPL-ной.
«и того» — «на лицо» «не знание» как матчасти, так и русского языка.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..." +/–

Сообщение от hizel (ok) on 20-Янв-12, 13:45

>> закрыть без указания автора нельзя.
>да? пруф. redistribution != derived work.
первый пункт BSD license:
Redistributions of source code must retain the above copyright
   notice, this list of conditions and the following disclaimer

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..." +/–

Сообщение от arisu (ok) on 20-Янв-12, 18:48

> первый пункт BSD license:
> Redistributions of source code must retain the above copyright
>    notice, this list of conditions and the following disclaimer
и? а я не дам исходника, чо. и не скажу, что использовал. имею право.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

9. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +/–

Сообщение от Аноним (??) on 09-Янв-12, 12:18

> Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.
Хреново понимаете. Просто берется и добавляется. Лишь бы требования BSDL были выполнены. А их довольно немного и выполнить их просто.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." –4 +/–

Сообщение от paulus (ok) on 08-Янв-12, 23:39

что за "переполнение кучи в libxml", что за куча?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +3 +/–

Сообщение от fyjybvec on 08-Янв-12, 23:47

heap

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +1 +/–

Сообщение от Аноним (??) on 09-Янв-12, 07:22

http://ru.wikipedia.org/wiki/Куча_(нераспределённая_память)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." –2 +/–

Сообщение от paulus (ok) on 08-Янв-12, 23:49

Ради FFmpeg 0.9.1 решил подключить ppa:jon-severinsson/ffmpeg
а то в репозитории 0.7.3

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +/–

Сообщение от Сергей (??) on 10-Янв-12, 15:48

Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..." +/–

Сообщение от Аноним (??) on 10-Янв-12, 23:32

> Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/
Вроде как libav неудачный форк, который уже почти заброшен и невостребован.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
Сообщение от Аноним (??) on 08-Янв-12, 23:09
Если в GNU telnetd нашли туже ошибку, что и в более старом BSD telnetd, то в GNU получается скопипастили код и втихую поменяли лицензию ? Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+3 +/–
	Сообщение от Аноним (??) on 08-Янв-12, 23:14
	Разобрался Патч к BSD --- contrib/telnet/libtelnet/encrypt.c (revision 228798) +++ contrib/telnet/libtelnet/encrypt.c (working copy) @@ -721,6 +721,9 @@ int dir = kp->dir; int ret = 0; + if (len > MAXKEYLEN) + len = MAXKEYLEN; + if (!(ep = (kp->getcrypt)(kp->modep))) { if (len == 0) return; Патч к GNU --- a/libtelnet/encrypt.c +++ b/libtelnet/encrypt.c @@ -796,6 +796,9 @@ encrypt_keyid (kp, keyid, len) int dir = kp->dir; register int ret = 0; + if (len > MAXKEYLEN) + len = MAXKEYLEN; + if (!(ep = (kp->getcrypt) (kp->modep))) { if (len == 0) Даже номера строк почти совпадают. Короче и там и там копипаст из heimdal, который под лицензией MIT.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
	Сообщение от Аноним (??) on 08-Янв-12, 23:50
	Код BSD можно даже закрыть и сделать пиппитиарное ПО на его основе. Чего уж говорить о GPL. Вот наоборот, GPL->BSD, нельзя. Поэтому BSDшники часто страдают болезнью на религиозной почве. Называется она "перепиши GPL-программу под BSD".
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	11. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	–1 +/–
	Сообщение от Аноним (??) on 09-Янв-12, 16:38
	закрыть без указания автора нельзя. Сменить лицензию с BSD на GPL тоже нельзя - можно в GPL проект вставить файлы с лицензией BSD. и того - на лицо не знание матчасти.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	12. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."	+1 +/–
	Сообщение от arisu (ok) on 09-Янв-12, 22:10
	> закрыть без указания автора нельзя. да? пруф. redistribution != derived work. > Сменить лицензию с BSD на GPL тоже нельзя да? пруф. можно добавить после BSDL GPL — и опа! программа, фактически, становится GPL-ной. «и того» — «на лицо» «не знание» как матчасти, так и русского языка.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	16. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."	+/–
	Сообщение от hizel (ok) on 20-Янв-12, 13:45
	>> закрыть без указания автора нельзя. >да? пруф. redistribution != derived work. первый пункт BSD license: Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	17. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."	+/–
	Сообщение от arisu (ok) on 20-Янв-12, 18:48
	> первый пункт BSD license: > Redistributions of source code must retain the above copyright > notice, this list of conditions and the following disclaimer и? а я не дам исходника, чо. и не скажу, что использовал. имею право.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	9. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
	Сообщение от Аноним (??) on 09-Янв-12, 12:18
	> Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить. Хреново понимаете. Просто берется и добавляется. Лишь бы требования BSDL были выполнены. А их довольно немного и выполнить их просто.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	–4 +/–
Сообщение от paulus (ok) on 08-Янв-12, 23:39
что за "переполнение кучи в libxml", что за куча?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+3 +/–
	Сообщение от fyjybvec on 08-Янв-12, 23:47
	heap
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+1 +/–
	Сообщение от Аноним (??) on 09-Янв-12, 07:22
	http://ru.wikipedia.org/wiki/Куча_(нераспределённая_память)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	–2 +/–
Сообщение от paulus (ok) on 08-Янв-12, 23:49
Ради FFmpeg 0.9.1 решил подключить ppa:jon-severinsson/ffmpeg а то в репозитории 0.7.3
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
	Сообщение от Сергей (??) on 10-Янв-12, 15:48
	Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	15. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."	+/–
	Сообщение от Аноним (??) on 10-Янв-12, 23:32
	> Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/ Вроде как libav неудачный форк, который уже почти заброшен и невостребован.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору