The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux

05.03.2014 11:34

В GnuTLS 3.2.12, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный сертификат может быть воспринят как валидный. Проблема выявлена сотрудниками Red Hat в результате аудита кода GnuTLS.

Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента. Также не исключается использование уязвимости в GnuTLS для распространения фиктивных обновлений пакетов c обходом системы проверки по цифровой подписи.

Всем пользователям, использующим приложения, вызывающие функции GnuTLS для организации аутентификации по сертификатам, следует срочно обновить GnuTLS. По предварительной оценке более 350 пакетов в Debian завязаны на GnuTLS, в том числе проблеме подвержены библиотеки libmailutils и cURL (libcurl3-gnutls), которые используются в почтовых приложениях и системах загрузки и обновления пакетов (apt-transport-https). Предпочтение GnuTLS вместо OpenSSL по лицензионным соображениям в Ubuntu и Debian также приводит к привязке к GnuTLS и других важных пакетов, таких как VPN-приложения.

Проблема возникла из-за ошибочного выполнения команды очистки ('goto cleanup') вместо перехода в секцию вывода ошибки ('goto fail'), что позволяет атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить процедуру верификации. На момент написания новости, пакеты с устранением уязвимости уже анонсированы для Debian, RHEL, Fedora, CentOS, openSUSE, SLE, Ubuntu, FreeBSD.

Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использовании функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Обновление GnuTLS 3.1.21 и 3.2.11 с устранением уязвимости
  3. OpenNews: Лидеры проектов GnuTLS, grep и sed выходят из проекта GNU в знак несогласия с политикой Фонда СПО
  4. OpenNews: Вышел GnuTLS 2.8.0
  5. OpenNews: Критическая уязвимость в OpenSSL
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/39239-gnutls
Ключевые слова: gnutls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (123) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Анонист (?), 11:59, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С детства говорили - goto вреден для здоровья.
     
     
  • 2.3, Аноним (-), 12:15, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не более чем JMP в ассемблере, мальчик
     
     
  • 3.4, анонимус (??), 12:17, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Спасибо, капитан.
     
  • 3.5, Аноним (-), 12:22, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может всё будем писать на ассемблере?
     
  • 3.51, anonymous (??), 14:50, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    not sure if it's branch
     
  • 3.59, metallica (ok), 15:17, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Это не более чем JMP в ассемблере, мальчик

    Вот jmp и есть плохо, наряду с всеми сравнительными jXX.

     
     
  • 4.80, Маленькая Серая Мышка (?), 17:33, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чем же принципиально хуже JMP по сравнению с PUSH+JMP?
     
     
  • 5.84, metallica (ok), 18:15, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем же принципиально хуже JMP по сравнению с PUSH+JMP?

    Ничем, за исключением продолжения декодирования процессором команд,
    стоящих за call, и их исполнении после ret, что быстрее чем просто jmp.
    Но вообще для критичных участков кода лучше использовать inline, в реализациях
    STL они сплошь и рядом.


     
     
  • 6.108, Маленькая Серая Мышка (?), 20:45, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Инлайны не надо раставлять лет уже эдак 15 - любой приличный компилятор сам заинлайнит что можно.
    А вот читать STL-ные сообщения об ошибках из-за этого совершенно невозможно.
     
  • 4.90, arisu (ok), 18:50, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это не более чем JMP в ассемблере, мальчик
    > Вот jmp и есть плохо, наряду с всеми сравнительными jXX.

    желаю тебе всю жизнь писать алгоритмы, где нужны циклы и условия, на языках, в которых нет циклов и условий.

     
  • 4.137, Аноним (-), 04:03, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот jmp и есть плохо, наряду с всеми сравнительными jXX.

    И правда, пользуйтесь SUBLEQ. Одной команды хватит всем!

     
  • 2.7, Аноним (-), 12:29, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    goto здесь не при чём. Не было бы goto - был бы вызов неправильной функции.
     
     
  • 3.12, Анонист (?), 12:37, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вызов неправильной функции легче отследить, не? Да и когда пишешь функцию минимум задумываешься о ее сигнатуре, о том, как ее назвать, и что конкретно она должна делать, (и это еще даже ДО любых рефакторингов) если это ООП и пишешь метод - думаешь еще о связности/сцеплении.

    А goto - взял и написал goto. Очень много ума надо? Код на "от**бись*. Вполне подходит для мелкомягких, впрочем.

     
     
  • 4.14, Аноним (-), 12:46, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вызов неправильной функции легче отследить, не?

    Не.

    > Да и когда пишешь функцию минимум задумываешься о ее сигнатуре, о том, как ее назвать, и что конкретно она должна делать

    Когда пишешь goto - думаешь как минимум как назвать метку и что должно происходить при переходе не неё. Сигнатуры тут никак не помогают ибо могут быть одинаковые.

    > А goto - взял и написал goto. Очень много ума надо? Код на "от**бись*. Вполне подходит для мелкомягких, впрочем.

    Для гнушников.

     
     
  • 5.21, Анонист (?), 13:01, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Да вы прямо-таки мастер написания меток! Это не вы сломали случаем? :)

    Вы не убедите меня, что код с goto более или хотя бы равен по ответственности за написание функции или метода.

    P.S. Поди, вы весь код в goto пишете, без функций, классов и методов? Идеальный код :)

     
     
  • 6.45, rshadow (ok), 14:10, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    именование это конечно повод для срача...

    мне вот на ум приходит что для функции легче тест написать отдельный, а не простыню для теста одной функции делать

     
     
  • 7.48, Аноним (-), 14:29, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тест можно написать для любого блока. Местные аналитики наслушавшиеся баек про goto is harmful даже не в курсе что goto от call отличается только помещением в стек адреса возврата.
     
     
  • 8.57, Маленькая Серая Мышка (?), 15:14, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А exceptions делаются на лонгджампе за минуту, да-да Как это отменяет тот факт ... текст свёрнут, показать
     
     
  • 9.76, www2 (??), 17:24, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно, блоки находятся внутри функции А для каждой функции можно написать не... текст свёрнут, показать
     
     
  • 10.78, Маленькая Серая Мышка (?), 17:31, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А небо - синее Речь шла про удобней а не в принципе это возможно Вспоминае... текст свёрнут, показать
     
     
  • 11.151, www2 (??), 18:24, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но часть блоков в определённых условиях не выполняется Например, первое же усло... текст свёрнут, показать
     
  • 5.82, Аноним (-), 18:00, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Когда пишешь goto - думаешь как минимум как назвать метку

    Долго и упорно думаешь... и называешь метки: m1, m2, m3,...
    (Из опыта программирования на ассеблере для x86)

     
     
  • 6.89, 1 (??), 18:33, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А через три недели после сдачи кода выясняется, что нужна доработка. Открываешь код, видишь эти метки и думаешь "какого ***".
     
  • 6.91, arisu (ok), 18:52, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Долго и упорно думаешь... и называешь метки: m1, m2, m3,...
    > (Из опыта программирования на ассеблере для x86)

    нет, это из опыта быдлокодинга.

     
  • 6.138, Аноним (-), 04:05, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > (Из опыта программирования на ассеблере для x86)

    О как, оказывается, быдлoкодить можно даже на асме.

     
  • 2.25, ананим (?), 13:16, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > С детства говорили - goto вреден для здоровья

    Угу.
    Когда жабу продвигали. Ну и вставляли зонд — жабаплагин. Со своей безопасностью,.. поэтессами.
    Теперь вот не знают как закрыть.

     
  • 2.66, Маленькая Серая Мышка (?), 15:45, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь функции - еще хуже. Для них нужен стек, привет его переполнениям и прочим срывам.
    А если функций не использовать - стек не нужен, безопасность повысилась.


     
     
  • 3.128, тазовод (?), 14:54, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    С таким подходом только из стартапа в стартап прыгать. Первые коммиты в репозитарий. Те, кто идут за вами, как бы помягче сказать, не считают вас гениальным. Те, кому читать, дорабатывать, править ваш код.
    И да, лечу по фотографии, удалённо, дорого.
     
  • 3.129, тазовод (?), 14:59, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А если функций не использовать - стек не нужен, безопасность повысилась.

    Сперва на ум приходит, что таких надо лечить. Долгая, скрупулёзная и тщательная многонедельная электрошоковая терапия электродами на гениталиях.  Но потом понимаешь, что это лишнее. Ведь умника, накатавшего в мейн() десяток меток, и заявляющего, что это мол для безопасности в реальности никогда не встретишь - ну не проходят они даже скромного испытательного срока. Никак невозможно.

     
     
  • 4.135, rob pike (?), 20:56, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никакого main() - у нас ведь нет стека, забыли?
    После процессинга аргументов командной строки делаем так:
    ; Now, calculate the page-size-aligned length from the end of .data to the top
    ; of the userspace addresses (See: http://en.wikipedia.org/wiki/X86-64)
    mov rsi,0x00007fffffffffff
    sub rsi,rdi
    shr rsi,12
    dec rsi
    shl rsi,12
    ; Do the munmap() call. This unmaps the stack, which we no longer need.
    syscall(sys_munmap,,)
    ; Fork away from calling TTY
    syscall(sys_fork)
     

  • 1.6, wavedocs (ok), 12:23, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У меня так и не поднялась авторизация на с TLS, видать к лучшему
     
  • 1.9, Аноним (-), 12:34, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всегда говорил что GnuTLS - жалкая подделка под OpenSSL, переписанная только чтобы "GNU". Хорошо что у меня всё собрано с OpenSSL а не этой дрянью.
     
     
  • 2.139, Аноним (-), 04:10, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Всегда говорил что GnuTLS - жалкая подделка под OpenSSL, переписанная только чтобы
    > "GNU". Хорошо что у меня всё собрано с OpenSSL а не этой дрянью.

    Для начала, весь SSL/TLS - один большой кусок дряги.

     

  • 1.13, Аноним (-), 12:40, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Позорный 'goto'
     
     
  • 2.15, Аноним (-), 12:47, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Позорный 'goto'

    Позорные гнушные программисты. goto - всего лишь инструмент, если бы в проекте не использовался goto ошибка никуда не делась бы.

     
     
  • 3.17, Маленькая Серая Мышка (?), 12:57, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ИЧСХ, совсем недавно в яблочной продукции была ровно та же фигня, только там был лишний goto fail; и отсутствие скобок в теле if.
     
     
  • 4.19, Аноним (-), 12:59, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ИЧСХ, совсем недавно в яблочной продукции была ровно та же фигня, только
    > там был лишний goto fail; и отсутствие скобок в теле if.

    ИЧСХ, "совсем недавно" мыли сотни багов, и с goto, и не с goto, и со скобками и без скоок.

     
  • 2.60, 123 (??), 15:18, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я дофига. Goto тяжко отлаживать и в крупных проектах очень матерям. Хотя тот-же case куда опаснее в неумелых руках.
     
     
  • 3.93, arisu (ok), 18:54, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я дофига. Goto тяжко отлаживать и в крупных проектах очень матерям.

    зачем же вы заставляете матерей отлаживать крупные проекты? наймите программистов уже.

     
  • 3.140, Аноним (-), 04:11, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я дофига. Goto тяжко отлаживать и в крупных проектах очень матерям. Хотя
    > тот-же case куда опаснее в неумелых руках.

    Вы даже ваш спич на форуме отладить не можете. Куда уж вам крупные проекты отлаживать.

     
  • 2.65, Аноним (-), 15:43, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    нормальный программист легко обойдется без goto, на что не способен выросший на васике
     
     
  • 3.71, Маленькая Серая Мышка (?), 16:32, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Машиной Тьюирнга он обойдется, сделанной из спичек и изоленты.
     
     
  • 4.141, Аноним (-), 04:12, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Машиной Тьюирнга он обойдется, сделанной из спичек и изоленты.

    Может программмить виртуальный процессор понимающий subleq, это даже интереснее, пожалуй.

     
  • 3.79, www2 (??), 17:33, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сравните два варианта кода if error1 free ptr1 free ptr2 free_str... большой текст свёрнут, показать
     
     
  • 4.121, Михаил (??), 08:59, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нормальный в таком случае функцию error() сделает и будет ее вызывать.
     
     
  • 5.134, тоже Аноним (ok), 20:54, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это С, напоминаю Чтобы обработать локальные ptr1, ptr2, , их нужно будет в э... большой текст свёрнут, показать
     
  • 5.152, www2 (??), 18:26, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > нормальный в таком случае функцию error() сделает и будет ее вызывать.

    Ага, на каждую функцию по функции error. error для error'а потом ещё написать.

     
  • 3.95, arisu (ok), 18:55, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > нормальный программист легко обойдется без goto, на что не способен выросший на
    > васике

    это мы видели, да. вон, выше даже пример приведен, как «нормальные программисты обходятся без goto при помощи копипасты». зато гордятся, что «без goto».

     
  • 3.114, Ytch (ok), 00:16, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нормальный программист легко обойдется без goto

    Нормальный программист подумает головой и в каждом конкретном случае сможет принять аргументированное решение, когда целесообразно, а когда нет. В этом отличие от фанатиков, вырвавших фразу "goto - зло" из контекста и носящихся с ней как с аксиомой.

     

  • 1.22, Маленькая Серая Мышка (?), 13:05, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А теперь сравним время на решение этой проблемы - в корне, раз уж доверие подорвано, а не конкретной ошибки.

    Gentoo:
    echo "-gnutls" >> /etc/portage/make.conf
    emerge --changed-use --deep @world

    Остальные дистрибутивы:
    N лет ждать и надеяться что мейнтейнеры вычистят gnutls, может быть, когда-нибудь

     
     
  • 2.24, Аноним (-), 13:14, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А теперь сравним время на решение этой проблемы - в корне, раз
    > уж доверие подорвано, а не конкретной ошибки.
    > Gentoo:
    > echo "-gnutls" >> /etc/portage/make.conf
    > emerge --changed-use --deep @world

    FreeBSD:
    echo "OPTIONS_UNSET+=GNUTLS" >> /etc/make.conf
    portmaster -af

     
  • 2.27, karapuz2 (ok), 13:20, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ничего, что у вас перестанет работать функциональность? # shutdown -P now есть на всех системах
     
     
  • 3.33, rfc.1118 (?), 13:23, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    перестанет работать функциональность? что?
     
  • 3.34, Аноним (-), 13:24, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А ничего, что у вас перестанет работать функциональность?

    Это какая? SSL/TLS всю жизнь обеспечиваелся OpenSSL'ем, поэтому GnuTLS никакой функциональности не предоставляет, только дыры.

    > # shutdown -P now есть на всех системах

    Это к чему вообще?

     
     
  • 4.40, karapuz2 (ok), 13:34, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это какая? SSL/TLS всю жизнь обеспечиваелся OpenSSL'ем, поэтому GnuTLS никакой функциональности
    > не предоставляет

    Ну раз gnutls не используетсЯ, о чем разговор то?

    А если используется, то убирая gnutls - лишаемся его функциональности. При чем тут openssl? Про openssl другие новости будут.

    > только дыры.

    дыры. Но не только в gnutls. ( http://en.wikipedia.org/wiki/Openssl#Vulnerability_in_the_Debian_implementati )

     
     
  • 5.41, Маленькая Серая Мышка (?), 13:50, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    При том что при убирании флажка gnutls включается дефолтный флажок openssl.
    Пересобираются автоматически пакеты, ранее использовавшие gnutls, чтобы далее они использовали openssl.
    Никакой функциональности никто не лишается.
     
     
  • 6.52, pavlinux (ok), 14:52, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > При том что при убирании флажка gnutls включается дефолтный флажок openssl.
    > Пересобираются автоматически пакеты, ранее использовавшие gnutls, чтобы далее они использовали
    > openssl.
    > Никакой функциональности никто не лишается.

    OpenSSL и GnuTLS частично совместимы на уровне функционала, но не на уровне API.

     
     
  • 7.56, Маленькая Серая Мышка (?), 15:12, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому некоторые пакеты и пересоберутся с --enable-openssl вместо gnutls.
     
     
  • 8.61, pavlinux (ok), 15:19, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пересоберутся, не значит будут работать как нужно Например в exim без GnuTLS не... текст свёрнут, показать
     
     
  • 9.63, Маленькая Серая Мышка (?), 15:41, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    С чего бы им не работать как нужно Те, что завязаны только и конкретно на GnuTL... текст свёрнут, показать
     
     
  • 10.68, Аноним (-), 16:19, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да потому что GnuTLS это не OpenSSL и на уровне API они несовместимы Если две п... текст свёрнут, показать
     
     
  • 11.69, Маленькая Серая Мышка (?), 16:30, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никто и не утверждал что на уровне API они совместимы Поэтому в программах есть... текст свёрнут, показать
     
     
  • 12.77, Аноним (-), 17:26, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, это есть Но это есть далеко не у всех, кто то поддерживает только openssl а... текст свёрнут, показать
     
  • 10.131, pavlinux (ok), 18:33, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я ему говорю как в реальности, а оно мне тут гугло кописату вставляет Там 90 н... текст свёрнут, показать
     
     
  • 11.156, Маленькая Серая Мышка (?), 22:02, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если оно так, то это повод побыстрей с eximа слезть вне зависимости от gnutlsных... текст свёрнут, показать
     
  • 8.96, arisu (ok), 18:57, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    особенно это поможет пакетам без поддержки OpenSSL ... текст свёрнут, показать
     
     
  • 9.102, Аноним (-), 19:16, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А есть такие кто только на гнутом тлс-е Ну хотябы парочка ... текст свёрнут, показать
     
     
  • 10.106, arisu (ok), 19:50, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    эвон, выше в пример exim приводили 8212 любимый MTA бебиановодов ... текст свёрнут, показать
     
     
  • 11.117, Аноним (-), 02:09, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В генте почему-то можно выбрать, что использовать ... текст свёрнут, показать
     
     
  • 12.149, Аноним (-), 11:50, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и в Debian никто не мешает тем же Postfix-ом пользоваться ... текст свёрнут, показать
     
  • 10.107, Аноним (-), 20:05, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    как минимум выше уже про exim сказали... текст свёрнут, показать
     
     
  • 11.132, rob pike (?), 20:51, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Только неправду сказали ... текст свёрнут, показать
     
  • 4.142, Аноним (-), 04:14, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это какая? SSL/TLS всю жизнь обеспечиваелся OpenSSL'ем, поэтому GnuTLS никакой
    > функциональности не предоставляет, только дыры.

    Если убрать маску лицмера с физиономии и поискать тут по новостям, в OpenSSL багов затыкали немеряно. Да и сам SSL/TLS - оставляет желать много лучшего.

     
  • 3.64, rew (??), 15:43, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ORLY?
    [~]> shutdown -P now
    shutdown: illegal option -- P
    usage: shutdown [-] [-h | -p | -r | -k] [-o [-n]] time [warning-message ...]
           poweroff
     
     
  • 4.147, Аноним (-), 08:16, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это от того, что shutdown был собран без поддержки GnuTLS.
     
  • 2.31, Наивный чукотский юноша (?), 13:23, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Остальные не истерят.
     
     
  • 3.35, Аноним (-), 13:24, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Остальные не истерят.

    Потому что давно ещё gnutls выпилили.

     
  • 2.44, Andrey Mitrofanov (?), 14:06, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь сравним время на решение этой проблемы
    > Остальные дистрибутивы:
    > N лет ждать и надеяться

    """На момент написания новости, пакеты с устранением уязвимости уже анонсированы для Debian, RHEL, Fedora, CentOS, openSUSE, SLE, Ubuntu, FreeBSD.

    Время решения: вчера. Сравнивай.

     
     
  • 3.47, Маленькая Серая Мышка (?), 14:29, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>в корне, раз уж доверие подорвано, а не конкретной ошибки

    Учу читать, дорого.

     
     
  • 4.92, Аноним (-), 18:53, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>в корне, раз уж доверие подорвано, а не конкретной ошибки
    > Учу читать, дорого.

    Ядро Linux неоднократно "подрывало доверие к себе", и ничего.
    Наверное, потому что мир состоит не только из белок-истеричек.

     
  • 2.46, pavlinux (ok), 14:12, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Остальные дистрибутивы:
    > N лет ждать и надеяться что мейнтейнеры вычистят gnutls, может быть, когда-нибудь

    Это конечно же, почтовый, корпоративный или HA сервер, с тысячами юзеров и терабайтом трафика?

     
  • 2.87, Аноним (-), 18:24, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >echo "-gnutls" >> /etc/portage/make.conf
    >emerge --changed-use --deep @world

    Зачем?
    Новый ebuild с устранением уязвимости не заставит себя ждать. И останется только
    emerge --update @world

     
  • 2.112, Michael Shigorin (ok), 22:03, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь сравним время на решение этой проблемы - в корне

    ...и дальше пример на конкретный апстрим, замечательно.  Так и я могу сказать, что на локалхосте с сизифом об libgnutls26 прямщас были зацеплены e17 с connman, gnustep, qemu и vlc-plugin-gnutls -- мол, ничего страшного вообще (с учётом того, что последний уже и удалил)...

     

     ....большая нить свёрнута, показать (33)

  • 1.26, Аноним (-), 13:18, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в чём проблема в "повсеместном использованим функций strlen и strcat"?
    // опечатка, кстати
     
     
  • 2.29, Аноним (-), 13:21, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А в чём проблема в "повсеместном использованим функций strlen и strcat"?

    В strlen проблем нет, а strcpy/strcat не ограничивают длину буфера куда пишут, поэтому могут его переполнить.

     
     
  • 3.37, клоун Стаканчик (?), 13:33, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В strlen проблем нет

    Если строка не нуль-терминирована (получена из внешнего источника), то при использовании strlen можно выйти за предел буфера. Иногда подобная ошибка возникает как следствие ухода от другой ошибки: в буфер пишут не больше размера буфера, но не дописывают финальный "\0".

    Также ошибка может возникнуть при обращении к неиницилизированной строке (выделили память, вызвали strlen).

     
     
  • 4.136, pavlinux (ok), 03:35, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Какого буфера, чо ты гонишь code size_t strlen const char s const ... большой текст свёрнут, показать
     
  • 3.98, arisu (ok), 18:59, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > оттуда же
    > В стандартах программирования GNU нет ни слова про написание безопасного кода.

    потому что они писались программистами для программистов. а потом, к сожалению, пришли быдлокодеры, которым если явно не скажешь задницу после сортира вытирать/мыть, так они и не станут.

     
     
  • 4.143, Аноним (-), 04:16, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > быдлoкодеры, которым если явно не скажешь задницу после сортира вытирать/мыть, так
    > они и не станут.

    Еще и сделают удивленную рожу - "у тебя что, майка короткая?!" (c) анекдот.

     

  • 1.42, Аноним (-), 13:50, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "tls-server" в openvpn его использует?
    Обновы не видно что-то...
     
  • 1.50, pavlinux (ok), 14:35, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оно, не?! https://www.opennet.ru/openforum/vsluhforumID1/95435.html
     
  • 1.53, Аноним (-), 14:58, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня déjà vu
     
  • 1.55, Аноним (-), 15:05, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У Яблочников ведь такое же было, нет?
     
  • 1.62, metallica (ok), 15:20, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вместо goto A используется goto B.
    Мне одному мерещится умысел, а не баг?
     
  • 1.83, Grisha76 (?), 18:13, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Предпочтение GnuTLS вместо OpenSSL по лицензионным соображениям в Ubuntu и Debian также приводит к привязке к GnuTLS и других важных пакетов, таких как VPN-приложения и SSL-модули Nginx

    Какой бред! Автор сам придумал? Nginx не умеет работать с GnuTLS и крепко завязан на функциональность OpenSSL.

     
  • 1.105, iZEN (ok), 19:49, 05/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    % pkg info -x tls
    gnutls-2.12.23_3

    % pkg info -r gnutls-2.12.23_3
    gnutls-2.12.23_3:
    glib-networking-2.36.2

    % pkg info -r glib-networking-2.36.2
    glib-networking-2.36.2:
    libsoup-2.40.3_2
    libsoup-gnome-2.40.3_3

    % pkg info -r libsoup-2.40.3_2
    libsoup-2.40.3_2:
    libsoup-gnome-2.40.3_3
    gvfs-1.12.3_2
    gedit-2.30.4_2
    gstreamer-plugins-soup-0.10.31,3
    libchamplain-0.8.1_3
    libgdata-0.6.6_1
    totem-pl-parser-2.32.3_2
    eog-plugins-2.30.1_5
    totem-2.32.0_2
    xfce4-screenshooter-plugin-1.8.1_4
    webkit-gtk2-1.8.3_3
    yelp-2.30.2_7
    midori-0.5.7

     
     
  • 2.109, IMHO (?), 20:55, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    мне жить уже страшно с FreeBSD
    )))))
     
     
  • 3.118, Аноним (-), 02:15, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    1. Сделай то же самое в бебиане - тебя вообще удар хватит.
    2. Бинарнота, фуле ж.
     
     
  • 4.119, pavel_simple (ok), 05:02, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Сделай то же самое в бебиане - тебя вообще удар хватит.
    > 2. Бинарнота, фуле ж.

        --- libc6 (>= 2.8)
        --- libgcrypt11 (>= 1.4.5)
        --- libp11-kit0 (>= 0.11)
        --- libtasn1-3 (>= 1.6-0)
        --- zlib1g (>= 1:1.1.4)
        --- libgpg-error0 (>= 1.10)

    умойся

     
     
  • 5.124, Аноним (-), 10:33, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ты. Это зависимости gnutls, а надо обратные зависимости (т.е. те пакеты, которые зависят от gnutls).
     
     
  • 6.126, pavel_simple (ok), 10:48, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, ты.

    нет что?

     
  • 2.110, Аноним (-), 21:26, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что ты сделал с системой, криворукий, что pkg у тебя для gnutls не показывает всё что она показывает для libsoup?
     
     
  • 3.111, iZEN (ok), 21:51, 05/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Что ты сделал с системой, криворукий, что pkg у тебя для gnutls
    > не показывает всё что она показывает для libsoup?

    Вопрос к разработчикам pkgng. pkg_info(1) в предыдущей версии системы показывала ВСЕ зависимости.

     
     
  • 4.130, Аноним (-), 15:32, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос к твоим кривым рукам. У меня pkg показывает ВСЕ зависимости.
     
     
  • 5.133, iZEN (ok), 20:54, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Выложи. Оценим.
     
  • 4.144, Аноним (-), 04:19, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вопрос к разработчикам pkgng.

    Ну это обычная бсдшная стабильность и протестированность кода, походу. ZFS вон тоже релизнули стабильным. С стабильно виснущим sendfile().

     
     
  • 5.154, iZEN (ok), 20:49, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вопрос к разработчикам pkgng.
    > Ну это обычная бсдшная стабильность и протестированность кода, походу. ZFS вон тоже
    > релизнули стабильным. С стабильно виснущим sendfile().

    Сюрпризов со стабилностью в Ext4 тоже хватает:
    1. http://www.linux.org.ru/forum/desktop/10258156
    2. http://www.linux.org.ru/forum/admin/10259434

     
     
  • 6.158, Маленькая Серая Мышка (?), 22:36, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно не факт что ext4 там при чём-то.
     
     
  • 7.161, iZEN (ok), 23:09, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Совершенно не факт что ext4 там при чём-то.

    Отчего же не факт? Факты говорят, что ФС не справляется с очевидными ошибками и не может даже диагностировать потерю данных!


     
     
  • 8.163, Маленькая Серая Мышка (?), 16:51, 08/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что FS там не напрямую с диском работает Есть еще LVM, md, драйвера, я... текст свёрнут, показать
     
  • 6.159, AlexAT (ok), 22:53, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Сюрпризов со стабилностью в Ext4 тоже хватает:

    А давай мы не будем заново заквашивать, а? Всё уже неоднократно насчет ZFS vs * разобрали по полочкам, и сделали выводы.

     
     
  • 7.160, iZEN (ok), 23:08, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сюрпризов со стабилностью в Ext4 тоже хватает:
    > А давай мы не будем заново заквашивать, а? Всё уже неоднократно насчет
    > ZFS vs * разобрали по полочкам, и сделали выводы.

    Вот только почему-то выводы делают те, кто ZFS только по скриншотам консоли видел и/или слышал отзывы о работе как по испорченному телефону, заминая очевидные причины. ;)


     
     
  • 8.164, Маленькая Серая Мышка (?), 16:53, 08/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Те кто _действительно_ давно и глубоко знает ZFS, например Brendan Gregg, далеко... текст свёрнут, показать
     

  • 1.115, Пиу (ok), 01:51, 06/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    этим чудакам уже показали юнит-тестирование?
     
     
  • 2.123, Andrey Mitrofanov (?), 09:52, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > этим чудакам уже показали юнит-тестирование?

    Да, целая выставка, конечно: openssl, nss, gnupg. Мильёны и мильярды их. И все _показывают, как надо тестировать.

     

  • 1.120, Аноним (-), 08:04, 06/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всмысле, опять все старые дистрибуитвы Linux на свалку?
    Каждый месяц в мире Linux происходит очередной Апокалипсис :(
    Я уже задумываюсь, а не поставить ли мне на сервер вместо линушки - Haiku.
    В ней-то уж точно всё стабильно, с самого её появления.
     
     
  • 2.122, AlexAT (ok), 08:59, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я бы рекомендовал MS-DOS 6.22.
     
  • 2.125, Аноним (-), 10:34, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я уже задумываюсь, а не поставить ли мне на сервер вместо линушки
    > - Haiku.
    > В ней-то уж точно всё стабильно, с самого её появления.

    Админ локалхоста? Тогда ставь, конечно, че уж.

     
     
  • 3.127, metallica (ok), 11:10, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/

    > Админ локалхоста? Тогда ставь, конечно, че уж.

    Нет, господа, для задачек, как то хостинг фоток котят и подружек, линукс можете смело
    использовать, а вот для чего поважней его всё равно никто не использует.
    Что? Гуглы/фейсбуки? Вот там линуксы перепиленные вдоль и поперёк, и  имеют много
    различий с теми массовыми всеми любимыми бабуинианами.
    На одном форуме читал откровения разраба из ЖЖ, который рассказывал как с стартовой
    конфигурации ввиде debian+mysql+apache долгим и упорным допиливанием получали
    пригодную конфигурацию.

     
     
  • 4.146, Аноним (-), 04:24, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Что? Гуглы/фейсбуки? Вот там линуксы перепиленные вдоль и поперёк, и  имеют
    > много различий с теми массовыми всеми любимыми бабуинианами.

    Ну, крутой хакер, иди, полАмай википедию чтоли для начала. А то там вообще убунта какая-то, понимаешь.

    > конфигурации ввиде debian+mysql+apache долгим и упорным допиливанием получали
    > пригодную конфигурацию.

    А ты сам подними инфраструктуру размером с ЖЖ хоть там на чем, я посмотрю как ты без напильника обойдешься. Без напильника получаются только типовые задачи. Сервис обслуживающий всю планету таковым не является.

     
  • 2.145, Аноним (-), 04:21, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В ней-то уж точно всё стабильно, с самого её появления.

    Да, в ней такой стабилизец, что там до сих пор помнят такой артефакт как GCC 2.95 и даже по слухам пользуются им. Для обеспечения совместимости ABI с какой-то доисторической проприетарью, которую никто никогда не увидит и уж тем более при всем желании не купит легально в 2014 году.

     

  • 1.153, Васька (??), 19:26, 07/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента.

    М, как интересно. То есть если сертификат заверен с сертифицируещем центре дает возможность пасти защищенное таким вот методом соединение? Или я чего то недопонимаю? Прелестно, Прелестно !

     
     
  • 2.157, тоже Аноним (ok), 22:35, 07/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы недопонимаете, что антивирусы, например, делают это далеко не первый год.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру