The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.01.2015 21:18  Критическая уязвимость в криптографической библиотеке PolarSSL

В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL выявлена критическая уязвимость (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером.

Среди программ, поддерживающих сборку с PolarSSL, можно отметить OpenVPN-NL (уязвим и требует обновления, так как использует по умолчанию PolarSSL), OpenVPN, cURL, FreeRDP, PowerDNS. Проблема проявляется во всех выпусках PolarSSL 1.x, включая актуальные версии 1.3.9 и 1.2.12. Исправление пока доступно в виде патча.

  1. Главная ссылка к новости (https://polarssl.org/tech-upda...)
  2. OpenNews: Проект PolarSSL перешел в руки компании ARM
  3. OpenNews: Представлен релиз легковесной криптографической библиотеки PolarSSL 1.0.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: polarssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 21:37, 19/01/2015 [ответить] [смотреть все]
  • +3 +/
    Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято
     
     
  • 2.8, Аноним, 22:32, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Такие еще где-то остались ... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Аноном, 22:49, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Точно, два типа дыр: случайные и критические.
     
     
  • 3.43, Аноним, 17:41, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Все некритические - обязательно случайные?
     
  • 1.3, Аноним, 22:14, 19/01/2015 [ответить] [смотреть все]  
  • –3 +/
    Ну кто бы сомневался что в навороченном до ж ы парсере очередной переусложнено... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 22:29, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой.

    Жестко ты Linux приложил.

     
     
  • 3.10, Аноним, 22:42, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    В нем между прочим можно выбрать какие лезвия прикручивать - см как это делают ... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 22:44, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Но сути это не меняет ... весь текст скрыт [показать]
     
     
  • 5.15, Аноним, 22:47, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Да как сказать Несмотря на большой размер кода багов которые были бы эксплуатир... весь текст скрыт [показать]
     
     
  • 6.19, Michael Shigorin, 23:29, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то способствует, вспомните недавние комментарии solardiz Но это отдельн... весь текст скрыт [показать]
     
     
  • 7.22, Аноним, 02:51, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А ссылочку подкинете И да, может быть у меня склероз, но я не помню в линухе CV... весь текст скрыт [показать]
     
     
  • 8.23, Michael Shigorin, 03:48, 20/01/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    http www opennet ru openforum vsluhforumID3 101076 html 54 Да-да, с характерны... весь текст скрыт [показать]
     
  • 8.30, клоун, 12:08, 20/01/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Полная история изложена здесь: http://spbit.ru/news/n113886/
     
     
  • 9.47, Аноним, 20:13, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Мне малоинтересно почему в микрософте 3 месяца е ли вола вместо того чтобы фик... весь текст скрыт [показать]
     
     
  • 10.52, arisu, 20:22, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    потому что расписание выпусков патчей важнее всего а идиотские писки по поводу ... весь текст скрыт [показать]
     
     
  • 11.56, Аноним, 20:26, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    У них вроде раз в месяц, так что они минимум 2 раза проипли срок Осталось еще н... весь текст скрыт [показать]
     
     
  • 12.57, arisu, 21:33, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    так это 8230 список фиксов для следующих патчей давно составлен, туда не помещ... весь текст скрыт [показать]
     
  • 3.18, Michael Shigorin, 23:27, 19/01/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Линукс -- это общее название набора заготовок, комплектов деталей, одно- и много... весь текст скрыт [показать]
     
     
  • 4.42, Аноним, 17:38, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Как и PolarSSL От того, что вы его называете другими словами, суть не меняется ... весь текст скрыт [показать]
     
     
  • 5.48, Аноним, 20:14, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Linux, PolarSSL и правда, какая разница ... весь текст скрыт [показать]
     
  • 2.37, arisu, 18:55, 20/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    нет, конечно точнее, да у тех идиотов, у которых выделялка памяти не чистит вы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 20:16, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну ок, так и запишем - те кто пользуются PolarSSL - ССЗБ Правда это касается и ... весь текст скрыт [показать]
     
     
  • 4.55, arisu, 20:24, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    а ещё в ядре баги есть в том числе и ведущие к ужас просто твой выбор 8212 ... весь текст скрыт [показать]
     
  • 1.4, Crazy Alex, 22:18, 19/01/2015 [ответить] [смотреть все]  
  • –1 +/
    Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения - консервативный подход к добавлению фич и проверка временем.
     
     
  • 2.7, Аноним, 22:31, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Неа Прежде всего консервативность нужна при исправлении багов и, особенно, закр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Crazy Alex, 09:26, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну, значит следом прилетит ещё один багофикс Всё лучше, чем кидаться в объятия ... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 17:37, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Багфикс - тоже вполне себе инновация Именно поэтому у серьезных дядек каждое ис... весь текст скрыт [показать]
     
     
  • 5.46, arisu, 19:18, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    сертифицированное говно магически превращается в конфетку!
     
     
  • 6.54, Аноним, 20:23, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну надо же как-то оправдывать волокиту, бюрократию и имитацию бурной деятельност... весь текст скрыт [показать]
     
  • 2.11, Аноним, 22:42, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > - консервативный подход к добавлению фич и проверка временем.

    Ну, за шифр Цезаря! :)

     
     
  • 3.25, тоже Аноним, 08:29, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну да, главное - чтобы метод прошел проверку временем Результат проверки неваже... весь текст скрыт [показать]
     
  • 3.28, Crazy Alex, 09:27, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    О, кто-то путает качество и сферу применения алгоритма и качество кода быва... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 13:38, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Внезапно, качество алгоритма тоже должно пройти проверку временем ... весь текст скрыт [показать]
     
     
  • 5.39, Crazy Alex, 21:01, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Речь была не о том.
     
     
  • 6.40, Аноним, 17:34, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Да все правильно выше сказали Проверку временем должен проходить и код, и алгор... весь текст скрыт [показать]
     
     
  • 7.45, arisu, 19:16, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    угу время 8212 великий волшебник заменяет все науки что было хорошо для на... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 20:18, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Да вот странно - летают на самолетах зачем-то Ездят на поездах Автомобилей пон... весь текст скрыт [показать]
     
  • 1.6, доктор психиатор Котлетоватян, 22:30, 19/01/2015 [ответить] [смотреть все]  
  • +3 +/
    Ждём реализацию SSL на Rust.
     
     
  • 2.9, A.Stahl, 22:33, 19/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовав... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 22:44, 19/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    При том из шифрования желательно реализовать только шифр Цезаря Остальные недос... весь текст скрыт [показать]
     
  • 3.14, Аноним, 22:46, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Forth и Cobol еще не прошли проверку временем Латынь - и то получше вон товари... весь текст скрыт [показать]
     
     
  • 4.17, A.Stahl, 22:50, 19/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Зря смеёшься Мне кажется, что шумерская клинопись более устойчива к взлому, чем... весь текст скрыт [показать]
     
     
  • 5.21, Sw00p aka Jerom, 00:47, 20/01/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    речь моего беззубого дедушки намного устойчивее, хрень разберёшь, что говорит ... весь текст скрыт [показать]
     
  • 5.33, Аноним, 13:39, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Кто вам сказал, что я смеюсь ... весь текст скрыт [показать]
     
  • 5.44, Аноним, 17:43, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А если алгоритм шифрования реализован на брейнфаке, адаптированном под шумерскую... весь текст скрыт [показать]
     
  • 3.20, Sw00p aka Jerom, 00:45, 20/01/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    зачем ваще писать ? SSL уже похоронили - забыли ?
     
     
  • 4.34, Sw00p aka Jerom, 13:55, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    История с выявлением в SSLv3 уязвимости POODLE (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО.


    Пс: оставлю тут минусаторам, версию 4 еще не придумали)

     
  • 2.24, Аноним, 06:32, 20/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ждем повсеместных замен OpenSSL на NaCl Networking and Cryptography library ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Макиавельев, 09:12, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Новость кагбэ про polarssl, не?
     
     
  • 4.29, Аноним, 10:24, 20/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Кого это волнует?
     
  • 1.36, arisu, 18:52, 20/01/2015 [ответить] [смотреть все]  
  • +/
    а потому что malloc, используемый в любом коде, но особенно в security-critical коде, должен обнулять выделеный блок памяти автоматически. уж сколько раз твердили миру…

    хорошо, что я везде, где использую поляр, именно так malloc'и и починил давным-давно.

     
     
  • 2.51, Аноним, 20:21, 21/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, показ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, arisu, 20:23, 21/01/2015 [^] [ответить] [смотреть все]  
  • +/
    > Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки,
    > показывающие что они нифига не смыслят в безопасности. Я правильно тебя
    > понял?

    это вот ты сейчас с кем говорил вообще?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor