forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в GnuTLS. Разработчик OpenLDAP рекоме..."
Отправлено opennews, 05-Мрт-14 11:51

В GnuTLS 3.2.12 (http://gnutls.org/news.html), свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость (http://gnutls.org/security.html#GNUTLS-SA-2014-2) (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный сертификат может быть воспринят как валидный. Проблема выявлена сотрудниками Red Hat в результате аудита кода GnuTLS.

Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента или для успешного прохождения аутентификации. Проблема возникла из-за  ошибочного выполнения команды очистки ('goto cleanup') без последующего перехода в секцию вывода ошибки  верификации ('goto fail'), что позволяет атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить процедуру верификации.

Всем пользователям, использующим приложения, вызывающие функции  GnuTLS для организации аутентификации по сертификатам, следует срочно обновить GnuTLS.  На момент написания новости, пакеты с устранением уязвимости уже анонсированы  для Debian (https://www.debian.org/security/2014/dsa-2869), RHEL (http://rhn.redhat.com/errata/RHSA-2014-0247.html), Fedora (https://admin.fedoraproject.org/updates/), CentOS (http://lists.centos.org/pipermail/centos-announce/2014-March...), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-03/), SLE, Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2...), FreeBSD (http://www.vuxml.org/freebsd/f645aa90-a3e8-11e3-a422-3c970e1...).

Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.  Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал (http://www.openldap.org/lists/openldap-devel/200802/msg00072...) с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использованим функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API  GnuTLS.
URL: http://arstechnica.com/security/2014/03/critical-crypto-bug-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39239

Исходное сообщение
"Критическая уязвимость в GnuTLS. Разработчик OpenLDAP рекоме..." Отправлено opennews, 05-Мрт-14 11:51
В GnuTLS 3.2.12 (http://gnutls.org/news.html), свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость (http://gnutls.org/security.html#GNUTLS-SA-2014-2) (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный сертификат может быть воспринят как валидный. Проблема выявлена сотрудниками Red Hat в результате аудита кода GnuTLS. Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента или для успешного прохождения аутентификации. Проблема возникла из-за ошибочного выполнения команды очистки ('goto cleanup') без последующего перехода в секцию вывода ошибки верификации ('goto fail'), что позволяет атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить процедуру верификации. Всем пользователям, использующим приложения, вызывающие функции GnuTLS для организации аутентификации по сертификатам, следует срочно обновить GnuTLS. На момент написания новости, пакеты с устранением уязвимости уже анонсированы для Debian (https://www.debian.org/security/2014/dsa-2869), RHEL (http://rhn.redhat.com/errata/RHSA-2014-0247.html), Fedora (https://admin.fedoraproject.org/updates/), CentOS (http://lists.centos.org/pipermail/centos-announce/2014-March...), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-03/), SLE, Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2...), FreeBSD (http://www.vuxml.org/freebsd/f645aa90-a3e8-11e3-a422-3c970e1...). Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал (http://www.openldap.org/lists/openldap-devel/200802/msg00072...) с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использованим функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS. URL: http://arstechnica.com/security/2014/03/critical-crypto-bug-... Новость: https://www.opennet.ru/opennews/art.shtml?num=39239

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В GnuTLS 3.2.12 (http://gnutls.org/news.html), свободной библиотеке с реализацией протоколов 
> SSL, TLS и DTLS и функций для работы с различными типами 
> сертификатов, устранена критическая уязвимость (http://gnutls.org/security.html#GNUTLS-SA-2014-2) 
> (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти 
> процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный 
> сертификат может быть воспринят как валидный. Проблема выявлена сотрудниками Red Hat 
> в результате аудита кода GnuTLS.

> Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ 
> к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать 
> незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над 
> транзитным TLS-соединением клиента или для успешного прохождения аутентификации. Проблема 
> возникла из-за  ошибочного выполнения команды очистки ('goto cleanup') без последующего 
> перехода в секцию вывода ошибки  верификации ('goto fail'), что позволяет 
> атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить 
> процедуру верификации.

> Всем пользователям, использующим приложения, вызывающие функции  GnuTLS для организации 
> аутентификации по сертификатам, следует срочно обновить GnuTLS.  На момент написания 
> новости, пакеты с устранением уязвимости уже анонсированы  для Debian (https://www.debian.org/security/2014/dsa-2869), 
> RHEL (http://rhn.redhat.com/errata/RHSA-2014-0247.html), Fedora (https://admin.fedoraproject.org/updates/), 
> CentOS (http://lists.centos.org/pipermail/centos-announce/2014-March/020183.html), 
> openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-03/), SLE, 
> Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002421.html), 
> FreeBSD (http://www.vuxml.org/freebsd/f645aa90-a3e8-11e3-a422-3c970e169bc2.html).

> Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.  Ховард 
> Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году 
> выступал (http://www.openldap.org/lists/openldap-devel/200802/msg00072.html) с 
> рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил 
> безопасности в кодовой базе GnuTLS, в частности, повсеместном использованим функций strlen 
> и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр 
> API  GnuTLS.

> URL: http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=39239

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру