The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов"  +/
Сообщение от opennews (??), 16-Мрт-22, 12:11 
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика).  Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56863

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +/
Сообщение от Аноним (1), 16-Мрт-22, 12:11 
Готовый эксплойт есть?
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +3 +/
Сообщение от Анон22 (?), 16-Мрт-22, 12:19 
Это упенсурз - СДЕЛАЙ САМ.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +1 +/
Сообщение от Аноним (3), 16-Мрт-22, 12:20 
На основе условий из тестов можно сертификат поменять
https://github.com/openssl/openssl/commit/3469282ed2faee7478...
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +/
Сообщение от Кровосток (?), 16-Мрт-22, 14:38 
Верно ли, что любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку на зловредный сервер который предоставит эксплойт-сертификат?
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +1 +/
Сообщение от Тот самый (?), 16-Мрт-22, 23:34 
>любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку

С какого перепугу почтовик должен принимать "письма на некорректный ящик и последующим ответом отлупа в обратку"? Это мечта спамеров - готовый релей для рассылки. Отлуп должен быть еще на этапе приема: No such address here


Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +/
Сообщение от Kuromi (ok), 17-Мрт-22, 00:55 
Не любой. Тундра например (как и ФФ) использует NSS (собственная разработка Мозиллы) и там не сработает.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +2 +/
Сообщение от another_one (ok), 16-Мрт-22, 19:59 
Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  –2 +/
Сообщение от Alexey (??), 16-Мрт-22, 20:44 
Зачем нужен процессор AMD, если в результате эксплоиты повторяются с Intel. Эталонный NIH синдром. Логика какая-то такая.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +2 +/
Сообщение от Онаним (?), 16-Мрт-22, 21:17 
Не повторяются. Работающих между уровнями привилегий дырок так и нет.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +/
Сообщение от Kuromi (ok), 17-Мрт-22, 00:56 
Они взяли код OpenSSL и начали его "причесывать" и чистить. Очевидно что уязвимость оказалась в том коде до которого чистка еще не дошла.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +1 +/
Сообщение от Брат Анон (ok), 17-Мрт-22, 08:09 
Не очевидно.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."  +/
Сообщение от пох. (?), 17-Мрт-22, 11:28 
В результате не смогли вычистить ни одной серьезной уязвимости - все они ВНЕЗАПНО оказывались из тех до которых "чистка не дошла". И никогда не дойдет, поскольку нужной квалификацией эти ребята не обладают.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру