The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от opennews (ok), 21-Апр-20, 21:49 
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1g, в котором устранена уязвимость (CVE-2020-1967), приводящая к отказу в обслуживании при попытке согласовать соединение TLS 1.3 с подконтрольным злоумышленнику сервером или клиентом. Уязвимости присвоен высокий уровень опасности...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52782

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –1 +/
Сообщение от Аноним (2), 21-Апр-20, 21:59 
Какова вероятность, что все эти крупные игроки (типа мс), до сих пор юзающие 1.2 (полную уязвимых и устаревших возможностей), о чём то таком знали? В частности, о наличии сомнительных "расширений"? Как часто проводится аудит более ранних, чем 1.3, версий (среди которых полно уязвимых и устаревших возможностей)?
Ответить | Правка | Наверх | Cообщить модератору

4. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –2 +/
Сообщение от нах. (?), 21-Апр-20, 22:08 
о том что наспех сляпанная хвостатыми и проталкиваемая во все дыры с остервенением дорвавшегося кролика версия 1.3 окажется еще хуже "уязвимой и устаревшей" 1.0 (не говоря уже о более новых) - разумеется, знали. Не такие уж они идиоты.

Ответить | Правка | Наверх | Cообщить модератору

6. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от Сейд (ok), 21-Апр-20, 23:14 
Хвостатыми обезьянами?
Ответить | Правка | Наверх | Cообщить модератору

12. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от нах. (?), 22-Апр-20, 12:33 
> Хвостатыми обезьянами?

я в таксономии плаваю - но сто процентов это не рептилоиды.

Может, олени?

Ответить | Правка | Наверх | Cообщить модератору

18. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от Сейд (ok), 22-Апр-20, 22:09 
Волки! https://richard.levitte.org/
А в программировании вы не плаваете?
Ответить | Правка | Наверх | Cообщить модератору

19. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от нах. (?), 23-Апр-20, 00:01 
этот волчара плюшевый последние годы все больше в доки комитил (не в CoC.md, и на том спасибо), стареет, видать. А может наоборот, наконец-то нашел работу и не стало времени на глупости всякие.

"Инновациями", в том числе и tls1.3, там занят в основном некто mattcaswell, хз что за зверюшка, но беда не в нем, а в том что у несчастного файлика 54 автора.

Ответить | Правка | Наверх | Cообщить модератору

20. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от mikhailnov (ok), 23-Апр-20, 19:51 
а в чем претензии к TLS 1.3?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

23. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +2 +/
Сообщение от нах. (?), 23-Апр-20, 23:00 
В том что непонятно, какую высосанную из пальца проблему оно решает.

Какие на пустом месте создает - понятно.

Ответить | Правка | Наверх | Cообщить модератору

9. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от Ivan_83 (ok), 22-Апр-20, 08:52 
Им трудно переезжать на новое, ибо сломается куча говнокода старого.
Знакомая по работе ситуация.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –3 +/
Сообщение от нах. (?), 22-Апр-20, 12:36 
> Им трудно переезжать на новое, ибо сломается куча говнокода старого.

даже если (случайно) не сломается - это просто совершенно ненужная деятельность.
Ни один продукт ms не будет выкинут (в отличие от 6ешплатного г-на) потому что не поддерживает новомодное ненужно.

И никакой гугль пока еще не в силах их заставить.

Ответить | Правка | Наверх | Cообщить модератору

21. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от А (??), 23-Апр-20, 22:48 
Скайп Фор Бузинес выкидывается, Семёрка выкинута (хотя и стараются на ней остаться, но выкинута в пользу значительно иной вещи Вин10), Икс-Пи - уже даже и забыли название это и под неё уже софт не весь работает. Офис уже в облаке, умеет рекомендовать с какими контактами по работе рекомендуется больше/меньше общаться, и как ты время теряешь - это выкидывается настольный софт в пользу облачного.

Десяточку сейчас зативоизируют-вхардкодят и выбрасывать начнут ещё чаще и больше в пользу своих бизнес интересов модно-молодёжно-перспективных.

Не сотвори себе кумира. Меньше разочарований.

Ответить | Правка | Наверх | Cообщить модератору

22. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от нах. (?), 23-Апр-20, 22:59 
> Скайп Фор Бузинес выкидывается, Семёрка выкинута

[skip]
так это-то все понятно, зачем делается. А чего ради сами себе создавать проблемы с поддержкой только-распоследнего-модного-бесполезно-tls - непонятно.
У них и так все работает.

А чудес от Кумара у руля и не ждет никто.

(но, кстати, мы тут на сцайпворбизнес надысь перешли! Ага, не с, а на. С lync, естественно. Лицензию типа продали, не поморщились. Обратная совместимость частичная - "комнаты" не видны. На teams, полагаю, уже апгрейда не будет - он останется только облачный, пока соберемся.)

Ответить | Правка | Наверх | Cообщить модератору

7. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –1 +/
Сообщение от Ilya Indigo (ok), 22-Апр-20, 02:33 
Помогите разобраться, кто в курсе.
Недавно протестировал на https://www.immuniweb.com/ssl/?id=qRWVJNq1 свои postfix/dovecot/nginx сервера и удивился таким результатам.

/* postfix/dovecot/nginx */
SERVER DOES NOT SUPPORT EXTENDED MASTER SECRET
The server does not support Extended Master Secret extension for TLS vresions ≤ 1.2.

/* postfix/dovecot */
SERVER DOES NOT SUPPORT KEY SHARE
The server does not support Key Share extension for TLS 1.3.

/* postfix/dovecot */
SERVER DOES NOT SUPPORT SUPPORTED VERSIONS
The server does not support Supported Versions extension for TLS 1.3.

Тема гуглится очень плохо и я только понял что это далеко не новые расширения которые работают из коробки без всяких заморочек ещё с openSSL 1.1.0.

В nginx явно об этом ответили https://forum.nginx.org/read.php?2,272703,272704

Но этот сервис говорит что мои сервера их не поддерживают.
Это глюк этого теста или у меня в самом деле что-то не включено?

P.S. Как минимум, этот сервис не видит у меня сифер chacha20-Poly1305 для TLS 1.2, но он у меня есть!

Ответить | Правка | Наверх | Cообщить модератору

10. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 22-Апр-20, 10:38 
Значит, выход один - взять клиента, который умеет вываливать дебаг каждого шага установки ссл-соединения, и проверить свои сервера с его помощью.
Ответить | Правка | Наверх | Cообщить модератору

11. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +2 +/
Сообщение от Hedgehog (??), 22-Апр-20, 11:36 
https://testssl.sh в помощь
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

14. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от Ilya Indigo (ok), 22-Апр-20, 17:33 
Благодарю за полезную утилиту!
TLS extensions (standard)    "renegotiation info/#65281" "server name/#0" "EC point formats/#11"
                              "session ticket/#35" "next protocol/#13172" "supported versions/#43"
                              "key share/#51" "status request/#5" "max fragment length/#1"
                              "application layer protocol negotiation/#16"
                              "extended master secret/#23"
Как я и думал это глюки сервиса.
Ответить | Правка | Наверх | Cообщить модератору

15. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –1 +/
Сообщение от Аноним (2), 22-Апр-20, 19:46 
Вот эту бери, я чёта подзабыл, что она существует, а ведь мастхэвная весч   https://addons.mozilla.org/en-US/firefox/addon/flagfox/
Ответить | Правка | Наверх | Cообщить модератору

16. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –1 +/
Сообщение от Ilya Indigo (ok), 22-Апр-20, 20:04 
Это я должен догадаться, что у расширения Flagfox есть опция проверить SSL через https://www.ssllabs.com ?
А сразу нельзя было просто дать ссылку на него или написать sslabs?

1 Способен проверить только веб-сервер.
2 Он вообще не проверяет расширения, об отсутствии которых я упоминал.
3 То что он умеет по большей части он сам использует из testssl.sh.
4 Из того что он использует своего он, как минимум, 0-RTT enabled распознать не может.

Ответить | Правка | Наверх | Cообщить модератору

17. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  –1 +/
Сообщение от Аноним (2), 22-Апр-20, 20:29 
Можно было и догадаться. Ну я вообще имел в виду https://observatory.mozilla.org/ который дёргает апи ssllabs immuniweb и всех остальных. И это скорее про удобство. Как говорится, не нравится, не ешь. Это тебе не винегрет размешанный в супе (c) какая-то ТП из правительства.
Ответить | Правка | Наверх | Cообщить модератору

24. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +1 +/
Сообщение от suffix (ok), 28-Апр-20, 17:23 
Починили:

https://www.immuniweb.com/ssl/?id=2zC2VSPt

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

25. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от Ilya Indigo (ok), 28-Апр-20, 18:36 
> Починили:
> https://www.immuniweb.com/ssl/?id=2zC2VSPt

Здорово!
> Supports OCSP Stapling Yes

Жду от postfix и dovecot поддержки OCSP Stapling. :-(

Ответить | Правка | Наверх | Cообщить модератору

26. "Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанн..."  +/
Сообщение от suffix (ok), 13-Май-20, 14:12 
> Жду от postfix и dovecot поддержки OCSP Stapling. :-(

Автор dovecot принципиально против и я его в целом понимаю.


Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру