URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109585
[ Назад ]
Исходное сообщение
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено opennews , 07-Ноя-16 23:45 
Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=147849220208015&w=2) корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610 (https://security-tracker.debian.org/tracker/CVE-2016-8610)), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx.


Проблема проявляется (https://bugzilla.redhat.com/show_bug.cgi?id=1384743) не только в LibreSSL, но и в OpenSSL  и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6 (https://lists.gnupg.org/pipermail/gnutls-devel/2016-November...), а в OpenSSL в сентябрьских выпусках 1.1.0b и 1.0.2j (https://www.openssl.org/) (на момент выхода этих версий об уязвимости не было известно (http://www.openwall.com/lists/oss-security/2016/10/24/3)).

Дополнительно можно отметить публикацию предупреждения (https://www.mail-archive.com/openssl-announce%40openssl...) о выходе 10 ноября обновления OpenSSL 1.1.0c, в котором будет устранена порция уязвимостей, одной из проблем присвоен высокий уровень опасности.

URL: https://marc.info/?l=openbsd-announce&m=147849220208015&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=45442

Содержание
Сообщения в этом обсуждении
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено XXX , 07-Ноя-16 23:45 
В дырявом OpenSSL устранили проблему не дожидаясь, пока её уровень опасности поднимут до крайнего.
Фиаско: в стабильных релизах и ответвлениях (LibreSSL) особенно стабильные баги.
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 07-Ноя-16 23:56 
Похоже пригорает, все они дырка.
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 22:20 
Если у вас мегазы кода работающие с данными из сети - ну вы поняли. В этих либах полно легаси и костылей, уйма способов сделать соединение не безопасным "для совместимости" даже не поняв этого и просто дико переусложненные протоколы в количестве полудюжины опций. Как это может на зафэйлить? Нет, раст не поможет если надо релизовать полдюжины навороченных протоколов с дурными опциями на все случаи жизни. Фэйспалм случится даже если написать на питоне. А в случае брейнфака надежда только на то что хакеры сойдут с ума быстрее чем разрабочтики.
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено бедный буратино , 08-Ноя-16 01:54 
балин, опять всю систему компилять :(
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 02:16 
Ну не зря ж ты бедный буратино ;)
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 02:20 
> балин, опять всю систему компилять :(

DEFAULT_VERSIONS+=ssl=libressl-devel

# grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
PORTVERSION=    2.5.0

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено бедный буратино , 08-Ноя-16 02:39 
>> балин, опять всю систему компилять :(
> DEFAULT_VERSIONS+=ssl=libressl-devel
> # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
> PORTVERSION= 2.5.0

и чё этот набор букв и цифр означает?

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено бедный буратино , 08-Ноя-16 02:39 
хотя нет, в собранном от 5 ноября это уже есть, собирать не надо:

errata 6.0:

015: RELIABILITY FIX: November 5, 2016   All architectures
Avoid continual processing of an unlimited number of TLS records.
A source code patch exists which remedies this problem.

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Меломан1 , 08-Ноя-16 10:41 
Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем счастье. Прокачка трафика увеличится на 90% с полным шифрованием.
Ура товарищи!

http://http-ss.com/

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 11:10 
И что, библиотеки шифрования в нём будут другие?
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Andrey Mitrofanov , 08-Ноя-16 11:34 
> И что, библиотеки шифрования в нём будут другие?

И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Куяврег , 08-Ноя-16 14:45 
> И центры сертификации!!

куда же без них! в них самая безопасность и гнездицца!

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 12:06 
Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что это "не то"
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 22:28 
> Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что
> это "не то"

Народ догадывается что проприетарный протокол с отчислениями и какими-то специальными программами - не торт? :)

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 12:26 
> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем

Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол?
И вообще, всё это очень походит на троллинг в стиле архиватора Бабушкина. Сочетание "SS" в названии немецкой компании только усиливает это подозрение.

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 12:33 
Это жулики.  Они хотят получать отчисления за использование, причём на уровне 1 доллара в месяц на каждой устройство (http://http-ss.com/Pre_Sales_Consumer.html). И никакой это не протокол, а типа совмещения VPN с кэширующим прокси. Требует установки отдельных программ на сервер и на компьютер клиента.
"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Led , 09-Ноя-16 00:09 
> Это жулики.

Об этом можно легко догадаться по тому, кто рекламирует их здесь.

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."
Отправлено Аноним , 08-Ноя-16 22:23 
> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем
> счастье. Прокачка трафика увеличится на 90% с полным шифрованием.
> Ура товарищи!
> http://http-ss.com/

Так, минуточку. А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто? Или ты заранее орешь "ура!" на всякий случай, как истинный комсомолец?