The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от opennews (??) on 13-Дек-17, 11:34 
Ракрыты (http://openwall.com/lists/oss-security/2017/12/12/6) детали новой атаки на TLS, которая получила кодовое имя ROBOT (https://robotattack.org/) (Return Of Bleichenbacher's Oracle Threat).  Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook.  

Проблема выявлена на 27 из 100 крупнейших сайтов по рейтингу Alexa, включая Facebook и PayPal. При этом при рассмотрении миллиона крупнейших сайтов уязвимость наблюдается всего на 2.8% ресурсах. Подобное расхождение объясняется тем, что атаке подвержены в основном коммерческие реализации TLS (Cisco ACE, F5 BIG-IP SSL, Citrix NetScaler, Radware), применяемые в крупных проектах.  Из открытых проектов уязвимость присутствует Erlang (http://erlang.org/), Java/JSSE (https://www.oracle.com/technetwork/topics/security/cpuoct201...), WolfSSL (https://github.com/wolfSSL/wolfssl/), MatrixSSL (https://github.com/matrixssl/matrixssl/) и Bouncy Castle (https://github.com/bcgit/bc-java/). OpenSSL, LibreSSL и GnuLTS проблеме не подвержены, но не исключается возникновения уязвимости из-за применения неофициальных модификаций. Например, в Facebook используется OpenSSL, который оказался уязвим (https://eprint.iacr.org/2017/1189.pdf) из-за применения собственных дополнительных патчей. Причиной возникновения уязвимости называется неполная реализация мер защиты, описанных в секции 7.4.7.1 спецификации TLS.


Примечательно, что метод является незначительной модификацией первой практической атаки на RSA, предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher (https://en.wikipedia.org/wiki/Daniel_Bleichenbacher)) в 1998 году. Было выявлено, что спустя 19 лет многие HTTPS-хосты  до сих пор подвержены вариациям данной атаки. Суть метода в том, что атакующий на основании разных ответов от сервера может отделить корректные и некорректные блоки добавочного заполнения (padding oracle) в режиме PKCS #1 v1.5. Отличие нового метода от оригинальной атаки Блейхенбахера (http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenb...) заключается в использовании дополнительных сигналов для разделения типов ошибок, таких как таймауты, сбросы соединения и дубликаты TLS-оповещений. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора подобрать подходящий для сеанса сессионный ключ.

Для сайтов, применяющих только шифрование на основе ключей RSA, атакущий может пассивно сохранить перехваченный трафик и позднее расшифровать его. Для HTTPS-хостов поддерживающих PFS (Perfect forward secrecy) успех атаки не так однозначен и зависит от того, как быстро будет проведена атака. Атака не восстанавливает непосредственно закрытый ключ, а только позволяет расшифровать шифротекст или сформировать поддельное подписанное сообщение. Проблеме подвержен не только TLS, но и другие протоколы в которых применяется  RSA и PKCS #1 v1.5, включая XML Encryption, интерфейсы PKCS#11, JOSE (Javascript Object Signing and Encryption) и S/MIME.


Проверить свой сайт на наличие уязвимость можно через web-форму (https://robotattack.org/) или при помощи специального подготовленного скрипта (https://github.com/robotattackorg/robot-detect) на языке Python. В качестве обходного пути защиты рекомендуется отключить поддержку шифров на базе RSA (TLS_RSA*), за исключением шифров в которых RSA используется для создания цифровой подписи (шифры на основе эллиптических кривых с DHE и ECDHE в имени также не подвержены рассматриваемой атаке).

URL: http://openwall.com/lists/oss-security/2017/12/12/6
Новость: https://www.opennet.ru/opennews/art.shtml?num=47730

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +20 +/
Сообщение от Аноним (??) on 13-Дек-17, 11:34 
Насколько нужно быть тупыми, чтобы использовать для шифрования закрытые коммерческие библиотеки? Воистину, идиотизм работников корпораций никогда нельзя недооценивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +10 +/
Сообщение от Michael Shigorin email(ok) on 13-Дек-17, 11:46 
Его порой сложно переоценить...

> Например, в Facebook используется OpenSSL, который оказался
> уязвим из-за применения собственных дополнительных патчей.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +2 +/
Сообщение от A.Stahl (ok) on 13-Дек-17, 11:46 
Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное преимущество. Потому их и внедряли.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +46 +/
Сообщение от rshadow (ok) on 13-Дек-17, 11:53 
Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы". И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

50. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от gaga (ok) on 13-Дек-17, 15:53 
Многие не верят, но это действительно так. Когда я в первый раз столкнулся с этими рассуждениями, я просто офигел. Теперь уже только привычно пожимаю плечами.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

72. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +3 +/
Сообщение от Аноним (??) on 13-Дек-17, 21:29 
От чего вы офигели?

Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, что любое решение рано или поздно может сломаться. И вы можете либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, кто ж знал-то?".

В каком случае вы выберете вариант с OpenSource.

Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО верит, или когда вы сам начальние прошу не рассматривать.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

78. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от J.L. on 14-Дек-17, 14:34 
> От чего вы офигели?
> Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете,
> что любое решение рано или поздно может сломаться. И вы можете
> либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить
> что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания,
> кто ж знал-то?".
> В каком случае вы выберете вариант с OpenSource.
> Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО
> верит, или когда вы сам начальние прошу не рассматривать.

например когда при приёмке поделки подрядчика вы уже 3 недели находите разные и новые ошибки после каждой доделки подрядчика
зы: другого подрядчика нет, или они пишут нужные подмодули или своими силами
выбор своих сил всё ближе

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

79. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 14-Дек-17, 17:18 
Если за результат отвечаете в любом случае вы, то делать самим, конечно, лучше (ну или аутсорсить зарекомендовавшим себя знакомым). Но часто выбор стоит между отвечать самому и сложить ответственность на другого, при этом нужно хорошо выглядеть в глазах начальства.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

59. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от pavlinux (ok) on 13-Дек-17, 18:44 
> Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы".
> И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.

Вы когда-нибудь читали хоть одну EULA?

В двух словах:
1. Мы ни за что не отвечаем.
2. Если у вас что-то не работает/сломалось, то см. п. 1
  

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

67. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 19:57 
а чем это отличается от GPL ?...
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

69. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –1 +/
Сообщение от Аноним (??) on 13-Дек-17, 20:06 
Хотя бы тем, что в EULA требуют не смотреть в пирожок, который подсовывают. В GPL подписываются сами и требуют от других привселюдно вывернуть его наизнанку.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

74. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Anonymoustus (ok) on 14-Дек-17, 03:26 
Когда вы что-то покупаете за деньги в понятиях отношений ынтерпрайзов, то вы подписываете договор, в котором оговариваете права и обязанности сторон, форс-мажор и прочие вещи. EULA это совсем другое.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

11. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от dontletsmac on 13-Дек-17, 12:04 
Потому, что круто купить брендовый программный продукт же. Печатными лицензими с голограммами рисоваться же.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 12:16 
Какое может быть конкурентное преимущество у продукта, который используется в целях безопасности, но представляет собой закрытое непроверенное нечто? Верить на слово его авторам, что там всё норм?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +2 +/
Сообщение от A.Stahl (ok) on 13-Дек-17, 12:17 
Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые. Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Фуррь (ok) on 13-Дек-17, 12:20 
Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций, чем и занимается сей Аноним.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

66. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 19:28 
> Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций,
> чем и занимается сей Аноним.

Куда приятней лежать на диване и считать, что руководителей огромных корпораций на самом деле беспокоит приватность твоих данных или твоя цифровая безопасность, особенно когда ответсвенность можно спихнуть на кого-то или вообще, "никто не узнает!".


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +6 +/
Сообщение от Аноним (??) on 13-Дек-17, 12:40 
Ну так может он и выплатит что-то. Только от этого пользователю продукта не легче.

С другой стороны, я вполне поверю, что и обязательств никаких нет. В ToS винды вон прямо прописано, что любой ущерб больше $5 она не выплачивает, даже если ты умер из-за того что винда заглючила. Так что то что ты заплатил деньги абсолютно ничего тебе не гарантирует.

>Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?

Я работаю с одной из таких больших корпораций и прекрасно знаю, что там в руководстве сидят дядьки, которые вообще не в курсе что такое шифрование и какое оно бывает. Им какой-нибудь васян из отдела маркетинга выдал список вариантов, они выбрали самый дорогой или от самой известной компании, а в технические подробности не вдавались. А бывает что специалисты прямо говорят, что лучше с технической точки зрения, но на их мнение все ложили болт, потому что кто они, а кто большие дяди-директора. Потом несколько лет все плюются и заваливают дядь отчётами о том какую фекалию мы выбрали, и лет через 10 руководство великодушно принимает решение искать альтернативу. Находится такую же фекалию, только уже от другой компании, и круг повторяется по новой.

//Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –7 +/
Сообщение от A.Stahl (ok) on 13-Дек-17, 12:50 
Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают. А почему? Да потому что в больших компаниях работают специалисты. И по безопасности и даже какой-то спец по статистике сидит, который может оценить вероятность и стоимость ущерба.
Всё там у них хорошо.
А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки. Но такие компании особо в коммерческие либы не лезут. Им бы чтобы хоть как-то работало.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +3 +/
Сообщение от Sluggard (ok) on 13-Дек-17, 13:04 
> Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают.

Кому какое дело, насколько быстро восстанавливают системы, если там успевают утечь миллионные базы учёток? А новостей таких было немало.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:04 
Сам-то в это веришь? Большие компании ломают так же как и маленькие, просто в разном стиле. Вон у скайпа стабильно раз в пару месяцев то лапы ломит, то хвост отваливается у серверов, а они отвечают отмазками в стиле "мы в курсе, в течение недели что-нибудь придумаем". А это между прочим один из самых популярных мессенджеров, и компания большая с опытом.

>А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки.

Ну расскажи, что линукс делают васяны, а винду -- специалисты по безопасности. То-то у них стабильно всё работает, и даже компы после обновления в синий экран улетают реже чем каждый год.

Я не говорю что коммерческие компании работают хуже. Нет, не хуже, просто так же. Но в опенсорсе ты хотя бы можешь оценить продукт сам, особенно если это касается безопасности. А в закрытом шифровальщике ты покупаешь кота в мешке.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:12 
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему?

А потому что см. недавнюю новость про Uber. Не рассказывают об этом никому, если в большом начальстве не объявится внезапно очень правильный чувак.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:31 
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему? Да потому что в больших
> компаниях работают специалисты.

Тебя пох завербовал в Свидетели Святого Ынтырпрайза?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

41. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Crazy Alex (ok) on 13-Дек-17, 14:11 
У ынтырпрайза есть свои плюсы и свои минусы. Что ему легче получить шуструю и вменяемую поддержку (платную, конечно) - факт. Другое дело, кто этим озаботился, а кто сэкономил - тут по-всякому бывает. И таки держать выделенную security team стоит денег. И опять - это не значит, что там, где деньги есть она существует и делает что-то осмысленное. Но шанс есть. Как и есть шанс замучить что угодно бюрократией насмерть.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

52. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от mumu (ok) on 13-Дек-17, 16:36 
Ты или тролль или никогда не работал в компании больше 10 человек.
Всё совершенно верно и точно описано.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

56. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от пох on 13-Дек-17, 17:18 
возможно тебе стоит поработать в компаниях, больше 12ти.
Тогда ты узнаешь много интересного - в том числе, что большие дяди не любят разбрасываться большими деньгами, и потратить больше ста рублей инвесторских денег без тендера, условия которого пишут вовсе не генеральные директора и не инвесторы, а вполне себе инженеры, хрен у тебя получится.

другое дело, что если ты сам криво написал, а старшие товарищи вовремя не одернули - куплено в результате будет то, что оказалось дешевле, и что соответствовало описанным требованиям - а не то что будет на самом деле работать.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

58. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 17:46 
Зависит от страны. В очень больших компаниях как правило ворочаются большие капиталы, и там +- пару миллионов в год вообще никого не волнуют. Конечно могут пожурить, если отчеты и реальные расходы совсем потеряли связь друг с другом, но убиваться за копейки никто не будет. Особенно когда какое-нибудь шифрование вообще не имеет отношения к деятельности компании, а является просто атрибутом её сайта, который где-то сбоку и админится всеми забытым отделом IT.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

73. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от пох on 13-Дек-17, 22:41 
> Зависит от страны

вряд ли. "и хрен вы меня найдете" - идея интернациональная. Но, к сожалению, инвесторы не лохи (то есть они очень даже могут быть лохи во всем, кроме как раз идеи сп..ть денег и смотаться - именно так и нажили свои капиталы ;-)

разница скорее в том, что в околоэксовковой действительности еще есть, пусть и очень небольшой, шанс убедить инвестора выбрать хорошее решение самостоятельно, а в прочих местах - только через тендерную документацию.

> Особенно когда какое-нибудь шифрование вообще не имеет отношения к деятельности компании

тогда ты точно пойдешь настраивать наколеночное решение на базе ssl, еще не хватало тебе денег платить. "Вы же специалист, и мы вам платим офигенную зарплату (в два раза меньше средней по рынку, поскольку вы не имеете прямого отношения к тому, чем мы зарабатываем) - сделайте нам бесплатно - и срок исполнения вчера днем!"

> а является просто атрибутом её сайта, который где-то сбоку и админится
> всеми забытым отделом IT.

угу, щас ему F5 купят, конечно же.

Вот пэйпалке какой-нибудь - купят. Вместе со стадом инженегров для настройки.
К отделу it, заметим, они отношения иметь не будут.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

75. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Anonymoustus (ok) on 14-Дек-17, 03:30 
Волнует каждая копейка.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

77. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от mumu (ok) on 14-Дек-17, 09:17 
Ну согласен. Техническая грамотность руководства действительно играет большую роль.
Хотя частично-грамотные подчас вреднее полностью неграмотных. Сколько раз я слышал "Мы будем строить сеть на Cisco!". А на вопрос зачем, ответ "ну ты чооо, этож лидеры рынка у них всё самое самое! Поэтому у нас везде будут они". А потом начинается, что у лидеров покупаются самые дрищенские решение, а подчас начинают искать на б/у-барахолках, потому что денег нет, а хотим чтоб "всё от лидеров".

А бывает закупят SCCM. И не знают что с ним делать. Начинают на него натягивать всё, что без него прекрасно решалось. Нанимают отдельных админов для него, штат разрастается. Красота-ляпота. Зато самое дорогое и крутанское решение!

Про то как у нас любят SAP внедрять я даже рассказывать не буду. Большие дяди любят считать копейки. Любят внедрять SAP за миллиарды, а потом страдать.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –3 +/
Сообщение от pavlinux (ok) on 13-Дек-17, 19:04 
> //Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.

Тут разве медицинский форум?


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:10 
> Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.

А я почему-то уверен, что в EULA прописан отказ от ответственности.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +2 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:24 
Крупные компании между собой обычно работают не по EULA, а заключают кастомный договор с особыми условиями. Если клиент крупный и платит хорошо, автору софта выгодно ему во всём помогать.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

76. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Anonymoustus (ok) on 14-Дек-17, 03:33 
Все компании (юридические лица) всегда работают между собой по договору, EULA к этому отношения вообще не имеет. Просто большинство анонимов опеннета ещё учатся в школе и не знают об этом.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:26 
> А я почему-то уверен, что в EULA прописан отказ от ответственности.

Как в воду глядел:
> Disclaimer of Warranty. Except as expressly provided in this Section 8, Cisco hereby disclaims
> and Customer waives all representations, warranties, conditions or other terms (whether
> express, implied, or statutory), including, without limitation, any warranty, condition, or term (i) of
> merchantability, fitness for a particular purpose, reasonable care and skill, noninfringement,
> satisfactory quality, accuracy, or system integration, or (ii) arising from any course of dealing,
> course of performance, or usage in the industry. To the extent permitted by law, if a warranty,
> condition, or term cannot be disclaimed, such warranty, condition, or term shall be limited in
> duration to the applicable express warranty period.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

48. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +4 +/
Сообщение от scorry (ok) on 13-Дек-17, 15:19 
> И скорее всего разработчик брал на себя какие-то обязательства.
> Возможно и финансовые.

(слышен хоровой, заливистый, заразительный детский смех)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

55. "Новый метод атаки на TLS, затрагивающий 27 из 100..."  +/
Сообщение от arisu (ok) on 13-Дек-17, 17:12 
считать они, конечно, умеют. деньги в своём кармане. а пользователь не мамонт, и не вымрет, так что его потери никого не интересуют.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

38. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –7 +/
Сообщение от пох on 13-Дек-17, 14:09 
> Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное
> преимущество. Потому их и внедряли.

перечитай еще раз: netscaler, f5, ace.
Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации части библиотеки в asic, чаще всего), успехов лепить такое на коленке.

И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию - то есть за использование как раз openssl (которую там очень неудобно обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки с нуля (да, почти невозможной в наши дни - потому что кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я, включая вчера привнесенные)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

51. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –2 +/
Сообщение от примус on 13-Дек-17, 16:09 
>[оверквотинг удален]
>> преимущество. Потому их и внедряли.
> перечитай еще раз: netscaler, f5, ace.
> Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации
> части библиотеки в asic, чаще всего), успехов лепить такое на коленке.
> И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию -
> то есть за использование как раз openssl (которую там очень неудобно
> обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки
> с нуля (да, почти невозможной в наши дни - потому что
> кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я,
> включая вчера привнесенные)

Один из немногих адекватных комментариев.

Для остальных: и да, мы общаемся не на языке EULA. А на языке SLA. и там прописано все жестко.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

57. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от пох on 13-Дек-17, 17:25 
> Для остальных: и да, мы общаемся не на языке EULA. А на
> языке SLA. и там прописано все жестко.

ну, consequent damages там обычно не прописаны - то есть если тебе обещали время реакции два часа и время устранения инцидента двое суток - то вот через два дня после заявки "что-то у меня тут ssl дырявый" приползет новая прошивка, а не приползет - кто-то заплатит изрядных денег. Если поломали раньше/в процессе - никто вроде как не виноват. Собственно, как будто опенсорсные или самодельные поделки от этого защитят...

/уползает пересобирать libc для неподдерживаемого сто лет дистрибутива. К сожалению, слишком современный, чтобы не быть затронутым известной проблемой.


Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

10. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 12:01 
> Из открытых проектов уязвимость присутствует Erlang

Не присутствует, а зыакрыта 23 ноября.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Нанобот (ok) on 13-Дек-17, 19:08 
Т.е. присутствует во всех версиях, выпущенных до 23 ноября
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

63. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от irinat (ok) on 13-Дек-17, 19:12 
Мы не упоминаем версии, выпущенные до 23 ноября.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

70. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Аноним (??) on 13-Дек-17, 20:12 
> Т.е. присутствует во всех версиях, выпущенных до 23 ноября

Ооо, если бы Вы знали, как замечательно Эрланг умеет менять обувь прямо в полёте...

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

33. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –3 +/
Сообщение от zanswer CCNA RS and S on 13-Дек-17, 13:26 
Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов Cisco ACE 4710 и Cisco ACE 30, для которых в числе прочего не будет выпускаться обновление, закрывающие данную уязвимость, кроме возможно, случаев наличия персонализированных контрактов на поддержку.

Не берусь утверждать на 100%, что везде, но Cisco много где использует GPL программные продукты, включая OpenSSL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –6 +/
Сообщение от пох on 13-Дек-17, 14:02 
> Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов
> Cisco ACE 4710 и Cisco ACE 30

и дайте угадаю - к каждой из этих древних хреновин прилагалась бумажко с gpl license - и именно из-за использования openssl.

ибо нехрен.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от zanswer CCNA RS and S on 13-Дек-17, 14:09 
Таковыми не обладал, но более чем уверен, что среди литературы, что прилагается к устройство есть указание на то, что оно содержит те или иные компоненты под GPL.

Бегло посмотрел Security Advisories и да, я был прав, Cisco ACE использует OpenSSL и учитывая, что она давно EOS и EOL, то не о какой новой версии OpenSSL речь конечно не идёт. Хотя у Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то других продуктах.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –1 +/
Сообщение от пох on 13-Дек-17, 14:16 
> к устройство есть указание на то, что оно содержит те или
> иные компоненты под GPL.

хуже, именно openssl и есть эта (и единственная) компонента (и еще xml/xslt они очень раньше любили тащить куда надо и куда не надо).

> о какой новой версии OpenSSL речь конечно не идёт. Хотя у
> Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то
> других продуктах.

наоборот, если где и была, ее давно радостно выкинули на помойку.
Индусы по другому не умеют. А кроме них, увы, никого.

Я тут посмотрел (не спрашивайте меня, зачем и как угораздило - каждый может с бодуна упасть разинутым хлебальником прямо в яму с навозом) вот это:
https://www.youtube.com/watch?v=eP5lQBZOTgE

- дальше момента, когда (второй) чувак представляется, можете не смотреть. Это все, что вам надо знать о циске и ее разработчиках. (ну и об nginx+ тоже, но там кто бы сомневался)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

53. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –1 +/
Сообщение от Аноним (??) on 13-Дек-17, 16:48 
И openssl не под gpl, и не единственный это опенсоурсный компонент, и вообще ты напыщенный дурак, нахватавшийся верхушек.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

42. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 14:15 
> GPL программные продукты, включая OpenSSL

Сразу видно эксперта.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

44. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  –1 +/
Сообщение от zanswer CCNA RS and S on 13-Дек-17, 14:25 
Я не утверждал, что OpenSSL под GPL, хотя согласен, что выглядит предложение двояко.

С другой стороны, даже если представить, что я ошибся в лицензии на OpenSSL, вряд ли это коренным образом меняет суть сказанного в контексте того, что Cisco активно использует OpenSource продукты для создания своих без сомнения проприетарных продуктов.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

62. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Нанобот (ok) on 13-Дек-17, 19:11 
> GPL программные продукты, включая OpenSSL.

Насколько я помню, у openssl не GPL. Сам внедрял его в проприетарный продукт

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

64. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от irinat (ok) on 13-Дек-17, 19:17 
> Насколько я помню, у openssl не GPL.

А софту под GPL нужно ещё и дополнительное разрешение к лицензии добавлять, чтобы пользователи этого софта могли его линковать с OpenSSL. Есть (были?) там какие-то проблемы совместимости.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от zanswer CCNA RS and S on 13-Дек-17, 19:22 
Да, вы правы у них какая-то своя лицензия.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

80. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от пох on 14-Дек-17, 17:33 
в мусорке, куда я перекладывал их бумажные копии из каждой очередной коробки с циской - смотрятся совершенно одинаково.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

36. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:47 
То самое чувство, когда Facebook не зря сделал onion зеркало своего сайта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Ващенаглухо (ok) on 13-Дек-17, 14:29 
Питоновский скрипт че то не работает.
Cannot connect to server: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure (_ssl.c:777)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от Ващенаглухо (ok) on 13-Дек-17, 14:46 
С сайта зеленая табличка:))

This host does not support RSA encryption ciphers.
This is ideal!

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

68. "Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших..."  +/
Сообщение от ALex_hha (ok) on 13-Дек-17, 20:02 
> Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.

просвети об этом парней из Рэдмонда, а то они по ходу не в курсе

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру