The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от opennews (ok) on 07-Авг-14, 14:21 
Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 0.9.8zb (http://marc.info/?l=openssl-announce&m=140736716402308&w=2), 1.0.0n (http://marc.info/?l=openssl-announce&m=140736798102522&w=2) и 1.0.1i (http://marc.info/?l=openssl-announce&m=140737022103113&w=2) в которых устранено 9 уязвимостей (https://www.openssl.org/news/secadv_20140806.txt).  Шесть проблем выявлены сотрудниками Google.


Уязвимости CVE-2014-3506, CVE-2014-3510, CVE-2014-3507 и CVE-2014-3505  могут быть использованы для инициировании отказа в обслуживании (крах процесса) при использовании протокола DTLS (https://ru.wikipedia.org/wiki/DTLS).


Уязвимость CVE-2014-3512 может привести к записи данных за границы буфера при обработке некорректных параметров SRP в приложениях для которых включена поддержка SRP (https://ru.wikipedia.org/wiki/SRP).

Проблема CVE-2014-3511 позволяет организовать MITM-атаку по откату на  TLS 1.0 вместо использования более современной версии протокола при получении серверов некорректно фрагментированного сообщения ClientHello.

Уязвимость CVE-2014-3508 может привести к утечке областей стека при использовании в приложениях для отформатированного вывода таких функций, как X509_name_oneline и X509_name_print.

Уязвимость CVE-2014-5139 может использоваться для инициировании краха клиентского приложения при выдаче сервером некорректного набора шифров SRP.

Проблема CVE-2014-3509 вызвана состоянием гонки в функции ssl_parse_serverhello_tlsext и может быть использована для записи до 255 байт в уже освобождённый блок памяти при обращении  многопоточного клиентского приложения к серверу злоумышленника.


URL: http://marc.info/?l=openssl-announce&m=140736716402308&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=40342

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от бедный буратино (ok) on 07-Авг-14, 14:21 
http://dayswithoutansslexploit.com/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Andrey Mitrofanov on 07-Авг-14, 14:57 
Пусть график сделают УЖЕ! //zabbix, zabbix
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 15:41 
RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Andrey Mitrofanov on 07-Авг-14, 15:45 
> RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)

Я не про то, в смысле, как "человек, измученный забиксом," больлшой текстовый "0" и анонимные "1нах, чётчик обанулился" не воспринимаю -- без нарисованной пилы "аптайма". Рисовать-то, понятно, можно хоть чем.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от бедный буратино (ok) on 07-Авг-14, 20:42 
Кстати, а действительно, давай сделаем график?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от ASIC (ok) on 07-Авг-14, 15:20 
теперь будем надеется что в либре ссл такого небудет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +2 +/
Сообщение от Andrey Mitrofanov on 07-Авг-14, 15:33 
> теперь будем надеется что в либре ссл такого небудет

С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей: это тоже программа, программы пишут люди (новости про инопланетян или ангелов не было!) + все люди ошибаются, во всех программах есть ошибки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 15:36 
Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов в этой либе у вас не будет по чисто техническим причинам. Ведь если код не запускается то и баги подпихнуть не может.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от chinarulezzz (ok) on 07-Авг-14, 23:31 
И тем не менее, подход проекта openbsd к кодированию - лучший, к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  –1 +/
Сообщение от Аноним (??) on 08-Авг-14, 04:59 
> И тем не менее, подход проекта openbsd к кодированию - лучший,

Ну не знаю, openssh они накодировали в огромного переросточного монстра с кучей всякой вспомогательной и нафигнужной муиты. В результате на то чтобы прочитать его код и проверить что там все честно - надо *месяцы* просадить. Их openssh превратился в монстрюгу.

> к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.

Да мы можем и про опенбсдшные, если надо.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 09:33 
Маркетинговый буллшит про две удалённых уязвимости настиг и вас.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 12:11 
> Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов
> в этой либе у вас не будет по чисто техническим причинам.
> Ведь если код не запускается то и баги подпихнуть не может.

... Сказал человек, который configure для LibreSSL ни разу не запускал, не то что make.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Куяврег on 08-Авг-14, 18:49 
...уютная ппашечка, интерграция с системды... ну, ты знаешь, чо делать, верно?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

38. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Нанобот (ok) on 08-Авг-14, 14:42 
>> теперь будем надеется что в либре ссл такого небудет
>С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей

ты что, хочешь лишить человека Надежды?!!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +3 +/
Сообщение от Аноним (??) on 07-Авг-14, 17:44 
> теперь будем надеется что в либре ссл такого небудет

Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по большей части - "нечаянно", в рамках банального приведения кода в порядок - к вопросу о необходимости культуры программирования. :)

Для трёх проблем исправления в LibreSSL уже закоммичены:

http://marc.info/?l=openbsd-cvs&m=140738701707864&w=2
http://marc.info/?l=openbsd-cvs&m=140737467804157&w=2
http://marc.info/?l=openbsd-cvs&m=140736699502263&w=2

(в описании одного из последних двух коммитов - опечатка, на самом деле речь о CVE-2014-3509)

Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Andrey Mitrofanov on 07-Авг-14, 17:52 
> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по
> большей части - "нечаянно", в рамках банального приведения кода в порядок
> - к вопросу о необходимости культуры программирования. :)

.

> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят
> предварительно уведомлять коллег о

То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  –1 +/
Сообщение от Аноним (??) on 08-Авг-14, 01:44 
>> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по
>> большей части - "нечаянно", в рамках банального приведения кода в порядок
>> - к вопросу о необходимости культуры программирования. :)
> .
>> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят
>> предварительно уведомлять коллег о
> То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их
> должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?

Уязвимости были выпилены не целенаправленно. Давайте на примере лучше:

Вася с Петей живут в одном доме. Вася давно забил на уборку и мусор выносит только когда заканчивается место на кухонном полу. Зато он считает себя большим специалистом, потому что спит в обнимку с дихлофосом. Ну а как иначе, тараканы ж повсюду. А ещё Вася не даёт выкидывать старый сломанный стул, об который все спотыкаются в коридоре, потому что это якобы ценный антиквариат.

В то же время Петя - нормальный человек. Стол за собой вытрет, посуду - помоет, ведро - вынесет. Но задолбался Петя, потому что сколько ни старайся - бескультурье и пофигизм Васи сводят все усилия по наведению элементарной гигиены на нет.

И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, привыкшие к дому Васи, могли по дому Пети ходить с закрытыми глазами. Но уже без мусора. А все свои вещи, которые Петя унёс из дома Васи, Петя тщательно продезинфицировал. К сожалению, полностью это не помогло, но большая часть паразитов всё же сдохла. Поэтому дома у Пети дышится намного легче, посвободнее как-то.

А тут к Васе заглядывает в очередной раз его тётушка Галя - надо сказать, санитарный врач по образованию, - и в ходе ревизии находит в коробочке с фильмами плесень, да не простую, а жутко опасную. Тут же дом Васи закрывается на замок и проводится дезинфекция. После чего Вася рапортует, что опасность была в мелких бытовых предметах, но миновала и теперь всё хорошо. Только тогда Петя узнаёт о проблеме (точнее, он догадывался, что чего-то такое у Васи завелось, раз дом закрыли, но ничего не было понятно), самостоятельно перепроверяет все мелкие вещи (ведь сказать конкретно, где была плесень, Вася стесняется) и тоже находит плесень.

И вот прямо сейчас Петя готовится в свою очередь рассказать обо всём этом.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 05:02 
> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
> глазами. Но уже без мусора.

Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, разберемся где там тараканы, где стул, а где гости. И что надо удалить.

А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и в архитектуре и юзабилити был такой же спец как и в бытовых вопросах - дом Пети оставляет желать много лучшего.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 07:07 
>> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
>> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
>> глазами. Но уже без мусора.
> Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать,
> разберемся где там тараканы, где стул, а где гости. И что
> надо удалить.
> А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и
> в архитектуре и юзабилити был такой же спец как и в
> бытовых вопросах - дом Пети оставляет желать много лучшего.

Технически - да, так точнее. :) Но суть не меняется.

И, к слову, Петя сейчас усердно работает над имеющимися проблемами. В том числе делает отдельную, не очень большую, но очень удобную пристройку, специально для гостей... Но это уже предмет отдельного, не дырозатыкательного, релиза. :)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от КЭП on 07-Авг-14, 20:10 
> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).

Они еще и деньги получают а уязвимости зондируют "как некритичные"

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  –1 +/
Сообщение от jOKer (ok) on 07-Авг-14, 15:34 
Ему еще бы интерфейс нормальный. А то он справку выдает только потому что ключа --help не знает. Не то что бы меня от этого колбасило, но на самом деле это не есть хорошо: консольная утилита должна знать ключ --help, ИМХО
Да и краткая справка по наиболее востребованным командам тоже бы не помешала. Меня лично сперва задолбало ключи выискивать, а потом стало все равно - я их и так узнал. Но новичкам будет кисло, ой-ей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +1 +/
Сообщение от Аноним (??) on 07-Авг-14, 16:18 
> Ему еще бы интерфейс нормальный. А то он справку выдает только потому
> что ключа --help не знает. Не то что бы меня от
> этого колбасило, но на самом деле это не есть хорошо: консольная
> утилита должна знать ключ --help, ИМХО
> Да и краткая справка по наиболее востребованным командам тоже бы не помешала.
> Меня лично сперва задолбало ключи выискивать, а потом стало все равно
> - я их и так узнал. Но новичкам будет кисло, ой-ей.

Тебе кто-то что-то обязан? Присоединяйся и напиши. Откарячек, что-де код закрыт, уже нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 15:35 
> в которых устранено 9 уязвимостей

Большому кораблю - большая торпеда!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  –1 +/
Сообщение от Аноним (??) on 07-Авг-14, 15:40 
Пора переименоваться в OpenUSL. Unsecure Sockets Layer.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 16:59 
> Unsecure Sockets Layer.

1. Нет такого протокола сеансового уровня, пИтросян.
2. Ты бы об этих уязвимостях никогда до старости лет не узнал бы, если бы тебе в нос ими не тыкнули.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Andrey Mitrofanov on 07-Авг-14, 17:39 
>> Unsecure Sockets Layer.
> 1. Нет такого

WideOpenSSL примите?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 05:05 
> 1. Нет такого протокола сеансового уровня, пИтросян.

На самом деле есть, но его называют Secure Sockets Layer по какому-то недоразумению, если не саботажу.

> 2. Ты бы об этих уязвимостях никогда до старости лет не узнал
> бы, если бы тебе в нос ими не тыкнули.

Не отменяет того факта что они есть. А невъ....ного размера код для переросточного протокола, который я до старости не смогу проанализироваьт - это БАГ а не фича.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +1 +/
Сообщение от Аноним (??) on 07-Авг-14, 17:28 
Согласен, что совместимость важнее производительности. Вот только безопасность важнее совместимости.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 19:41 
>Вот только безопасность важнее совместимости.

Люто плюсую.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 07-Авг-14, 23:57 
Есть надёжные альтернативы же.
А теперь вопрос - вы о них знаете? :) Правильно, узнаете лет через 5Ю когда везде впилят. Ну дык и ...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 04:13 
Попытка очернить юникс удалась
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ..."  +/
Сообщение от Аноним (??) on 08-Авг-14, 05:07 
> "Совместимость важнее производительности" чего-нибудь говорит, не?

А здесь не о производительности, здесь уже о стабильности и безопасности. Но вы в вашем праве пользоваться MS-DOS, там совместимость уже никто портить не будет, стопудово.

> Мир не ограничен 17ю дюймами твоего персонального локалхоста, сечешь?

Подумаешь, на десяток дюймов пролошился. Ну не все же бомжи как вы :).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру