The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уязвимостей

16.10.2014 10:51

Доступны корректирующие выпуски OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc в которых устранено 3 уязвимости, а также представлен обходной путь для защиты от проявления уязвимости в SSL 3.0. В частности, добавлен механизм TLS_FALLBACK_SCSV, мешающий понижению версии протокола защищённого соединения при осуществлении атаки на системы с поддержкой SSLv3.

В выпуске OpenSSL 1.0.1j устранена выявленная разработчиками LibreSSL уязвимость CVE-2014-3513, вызванная ошибкой в коде разбора сообщений транспортного протокола DTLS-SRTP. Обработка специально оформленных handshake-сообщений, может привести к утечке содержимого памяти процесса из-за сбоя при освобождении до 64 Кб памяти. Проблема затрагивает серверные системы с SSL/TLS и DTLS, независимо от использования или настройки SRTP. Системы собранные с опцией OPENSSL_NO_SRTP не подвержены уязвимости.

Кроме того, устранены уязвимости CVE-2014-3567 и CVE-2014-3568, которым присвоен умеренный и низкий уровень опасности. Уязвимость CVE-2014-3567 напоминает проблему с SRTP, но вызвана проблемой очистки памяти при обработке некорректных session ticket. Проблема CVE-2014-3568 связана с тем, что при сборке с опцией "no-ssl3", OpenSSL продолжает принимать и обрабатывать запросы на соединение SSL 3.0.

Одновременно опубликован анонс грядущего прекращения поддержки ветки OpenSSL 0.9.8. Пользователям рекомендуется перейти к использованию веток 1.0.1 или 1.0.0. Выпуск обновлений для ветки 0.9.8 будет прекращён 31 декабря 2015 года, т.е. через 14 месяцев.

  1. Главная ссылка к новости (https://www.openssl.org/news/...)
  2. OpenNews: Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD
  3. OpenNews: Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 уязвимостей
  4. OpenNews: Проект OpenSSL представил план дальнейшего развития
  5. OpenNews: Компания Google представила BoringSSL, форк OpenSSL
  6. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40846-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:43, 16/10/2014 [ответить]  
  • +2 +/
    Понапихали гуано в либу, сделали супернавороченные протоколы с кучей легаси и еще удивляются - о, дыры.
     
     
  • 2.3, edwin3d (ok), 15:17, 16/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я бы добавил слегка .... Там сидят люди не дурные, совсем не дурные. Но код запутан и т.д. Такое впечатление, что это сделано сознательно, чтобы усложнить code analysis. А чтобы удовлетворить публику, периодически ей "бросаю кость" в виде якобы "открытых" уязвимостей    
     
     
  • 3.4, Психиатр (ok), 15:43, 16/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гы.
    Ваш пост навёл на мысль о теории мега-заговора.
    Создаём продукт призванный отвечать именно за безопасность.
    Делаем мегазапутанный код, с встроенными by design дырками (специально сделанными отверстиями).
    Продаём дырки заинтересованным лицам/службам.
    Изредка закрываем некоторые дырки, чтоб сообщество не сильно материлось.
    ...
    Profit.
     
     
  • 4.5, twilight (ok), 16:23, 16/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    тащемта есть пара конторок, которые сделали именно так, как вы описали - только у них фокус более общий, без специализации на крипте.
    Хотя и в индустрии крипты такой бизнес-моделью активно пользуются.
     
  • 4.7, Аноним (-), 18:33, 16/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    По вам обоим психиатр плачет.
     
     
  • 5.8, Ононим (?), 19:26, 16/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а вас, товарищ лейтенант, дома жена ждет !
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру