The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 уязвимостей

07.08.2014 12:47

Доступны корректирующие выпуски OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i в которых устранено 9 уязвимостей. Шесть проблем выявлены сотрудниками Google.

Уязвимости CVE-2014-3506, CVE-2014-3510, CVE-2014-3507 и CVE-2014-3505 могут быть использованы для инициировании отказа в обслуживании (крах процесса) при использовании протокола DTLS.

Уязвимость CVE-2014-3512 может привести к записи данных за границы буфера при обработке некорректных параметров SRP в приложениях для которых включена поддержка SRP.

Проблема CVE-2014-3511 позволяет организовать MITM-атаку по откату на TLS 1.0 вместо использования более современной версии протокола при получении сервером некорректно фрагментированного сообщения ClientHello.

Уязвимость CVE-2014-3508 может привести к утечке областей стека при использовании в приложениях для отформатированного вывода таких функций, как X509_name_oneline и X509_name_print.

Уязвимость CVE-2014-5139 может использоваться для инициирования краха клиентского приложения при выдаче сервером некорректного набора шифров SRP.

Проблема CVE-2014-3509 вызвана состоянием гонки в функции ssl_parse_serverhello_tlsext, и может быть использована для записи до 255 байт в уже освобождённый блок памяти при обращении многопоточного клиентского приложения к серверу злоумышленника.

Дополнение: Указанные уязвмости устранены в выпуске LibreSSL 2.0.5.

  1. Главная ссылка к новости (http://marc.info/?l=openssl-an...)
  2. OpenNews: Первый выпуск LibreSSL, форка OpenSSL от проекта OpenBSD
  3. OpenNews: Проект OpenSSL представил план дальнейшего развития
  4. OpenNews: Компания Google представила BoringSSL, форк OpenSSL
  5. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
  6. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, бедный буратино (ok), 14:21, 07/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://dayswithoutansslexploit.com/
     
     
  • 2.2, Andrey Mitrofanov (?), 14:57, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть график сделают УЖЕ! //zabbix, zabbix
     
     
  • 3.9, Аноним (-), 15:41, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)
     
     
  • 4.11, Andrey Mitrofanov (?), 15:45, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)

    Я не про то, в смысле, как "человек, измученный забиксом," больлшой текстовый "0" и анонимные "1нах, чётчик обанулился" не воспринимаю -- без нарисованной пилы "аптайма". Рисовать-то, понятно, можно хоть чем.

     
  • 4.24, бедный буратино (ok), 20:42, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, а действительно, давай сделаем график?
     

  • 1.3, ASIC (ok), 15:20, 07/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    теперь будем надеется что в либре ссл такого небудет
     
     
  • 2.4, Andrey Mitrofanov (?), 15:33, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > теперь будем надеется что в либре ссл такого небудет

    С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей: это тоже программа, программы пишут люди (новости про инопланетян или ангелов не было!) + все люди ошибаются, во всех программах есть ошибки.

     
     
  • 3.7, Аноним (-), 15:36, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов в этой либе у вас не будет по чисто техническим причинам. Ведь если код не запускается то и баги подпихнуть не может.
     
     
  • 4.25, chinarulezzz (ok), 23:31, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И тем не менее, подход проекта openbsd к кодированию - лучший, к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.
     
     
  • 5.29, Аноним (-), 04:59, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И тем не менее, подход проекта openbsd к кодированию - лучший,

    Ну не знаю, openssh они накодировали в огромного переросточного монстра с кучей всякой вспомогательной и нафигнужной муиты. В результате на то чтобы прочитать его код и проверить что там все честно - надо *месяцы* просадить. Их openssh превратился в монстрюгу.

    > к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.

    Да мы можем и про опенбсдшные, если надо.

     
  • 5.35, Аноним (-), 09:33, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Маркетинговый буллшит про две удалённых уязвимости настиг и вас.
     
  • 4.37, Аноним (-), 12:11, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов
    > в этой либе у вас не будет по чисто техническим причинам.
    > Ведь если код не запускается то и баги подпихнуть не может.

    ... Сказал человек, который configure для LibreSSL ни разу не запускал, не то что make.

     
  • 4.39, Куяврег (?), 18:49, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ...уютная ппашечка, интерграция с системды... ну, ты знаешь, чо делать, верно?
     
  • 3.38, Нанобот (ok), 14:42, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> теперь будем надеется что в либре ссл такого небудет
    >С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей

    ты что, хочешь лишить человека Надежды?!!

     
  • 2.19, Аноним (-), 17:44, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > теперь будем надеется что в либре ссл такого небудет

    Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по большей части - "нечаянно", в рамках банального приведения кода в порядок - к вопросу о необходимости культуры программирования. :)

    Для трёх проблем исправления в LibreSSL уже закоммичены:

    http://marc.info/?l=openbsd-cvs&m=140738701707864&w=2
    http://marc.info/?l=openbsd-cvs&m=140737467804157&w=2
    http://marc.info/?l=openbsd-cvs&m=140736699502263&w=2

    (в описании одного из последних двух коммитов - опечатка, на самом деле речь о CVE-2014-3509)

    Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).

     
     
  • 3.20, Andrey Mitrofanov (?), 17:52, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по
    > большей части - "нечаянно", в рамках банального приведения кода в порядок
    > - к вопросу о необходимости культуры программирования. :)

    .

    > Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят
    > предварительно уведомлять коллег о

    То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?

     
     
  • 4.27, Аноним (-), 01:44, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уязвимости были выпилены не целенаправленно Давайте на примере лучше Вася с Пе... большой текст свёрнут, показать
     
     
  • 5.30, Аноним (-), 05:02, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
    > привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
    > глазами. Но уже без мусора.

    Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, разберемся где там тараканы, где стул, а где гости. И что надо удалить.

    А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и в архитектуре и юзабилити был такой же спец как и в бытовых вопросах - дом Пети оставляет желать много лучшего.

     
     
  • 6.34, Аноним (-), 07:07, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
    >> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
    >> глазами. Но уже без мусора.
    > Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать,
    > разберемся где там тараканы, где стул, а где гости. И что
    > надо удалить.
    > А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и
    > в архитектуре и юзабилити был такой же спец как и в
    > бытовых вопросах - дом Пети оставляет желать много лучшего.

    Технически - да, так точнее. :) Но суть не меняется.

    И, к слову, Петя сейчас усердно работает над имеющимися проблемами. В том числе делает отдельную, не очень большую, но очень удобную пристройку, специально для гостей... Но это уже предмет отдельного, не дырозатыкательного, релиза. :)

     
  • 3.23, КЭП (?), 20:10, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).

    Они еще и деньги получают а уязвимости зондируют "как некритичные"

     

  • 1.5, jOKer (ok), 15:34, 07/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ему еще бы интерфейс нормальный. А то он справку выдает только потому что ключа --help не знает. Не то что бы меня от этого колбасило, но на самом деле это не есть хорошо: консольная утилита должна знать ключ --help, ИМХО
    Да и краткая справка по наиболее востребованным командам тоже бы не помешала. Меня лично сперва задолбало ключи выискивать, а потом стало все равно - я их и так узнал. Но новичкам будет кисло, ой-ей.
     
     
  • 2.12, Аноним (-), 16:18, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ему еще бы интерфейс нормальный. А то он справку выдает только потому
    > что ключа --help не знает. Не то что бы меня от
    > этого колбасило, но на самом деле это не есть хорошо: консольная
    > утилита должна знать ключ --help, ИМХО
    > Да и краткая справка по наиболее востребованным командам тоже бы не помешала.
    > Меня лично сперва задолбало ключи выискивать, а потом стало все равно
    > - я их и так узнал. Но новичкам будет кисло, ой-ей.

    Тебе кто-то что-то обязан? Присоединяйся и напиши. Откарячек, что-де код закрыт, уже нет.

     

  • 1.6, Аноним (-), 15:35, 07/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в которых устранено 9 уязвимостей

    Большому кораблю - большая торпеда!

     
  • 1.8, Аноним (-), 15:40, 07/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пора переименоваться в OpenUSL. Unsecure Sockets Layer.
     
     
  • 2.16, Аноним (-), 16:59, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Unsecure Sockets Layer.

    1. Нет такого протокола сеансового уровня, пИтросян.
    2. Ты бы об этих уязвимостях никогда до старости лет не узнал бы, если бы тебе в нос ими не тыкнули.

     
     
  • 3.18, Andrey Mitrofanov (?), 17:39, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Unsecure Sockets Layer.
    > 1. Нет такого

    WideOpenSSL примите?

     
  • 3.31, Аноним (-), 05:05, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Нет такого протокола сеансового уровня, пИтросян.

    На самом деле есть, но его называют Secure Sockets Layer по какому-то недоразумению, если не саботажу.

    > 2. Ты бы об этих уязвимостях никогда до старости лет не узнал
    > бы, если бы тебе в нос ими не тыкнули.

    Не отменяет того факта что они есть. А невъ....ного размера код для переросточного протокола, который я до старости не смогу проанализироваьт - это БАГ а не фича.

     
  • 3.17, Аноним (-), 17:28, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Согласен, что совместимость важнее производительности. Вот только безопасность важнее совместимости.
     
     
  • 4.22, Аноним (-), 19:41, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот только безопасность важнее совместимости.

    Люто плюсую.

     
     
  • 5.26, Аноним (-), 23:57, 07/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Есть надёжные альтернативы же.
    А теперь вопрос - вы о них знаете? :) Правильно, узнаете лет через 5Ю когда везде впилят. Ну дык и ...
     
     
  • 6.28, Аноним (-), 04:13, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Попытка очернить юникс удалась
     
  • 3.32, Аноним (-), 05:07, 08/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > "Совместимость важнее производительности" чего-нибудь говорит, не?

    А здесь не о производительности, здесь уже о стабильности и безопасности. Но вы в вашем праве пользоваться MS-DOS, там совместимость уже никто портить не будет, стопудово.

    > Мир не ограничен 17ю дюймами твоего персонального локалхоста, сечешь?

    Подумаешь, на десяток дюймов пролошился. Ну не все же бомжи как вы :).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру