The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Возможность обхода проверки сертификатов в продуктах Juniper на базе JUNOS

15.07.2016 12:06

В операционной системе JUNOS, используемой в различных сетевых устройствах компании Juniper, выявлена серьёзная уязвимость (CVE-2016-1280), позволяющая обойти проверки по цифровым сертификатам, заверенным удостоверяющими центрами. Суть проблемы в том, что JUNOS воспринимает как корректные любые самоподписанные сертификаты, имя создателя в которых совпадают с корректными сертфикатами, загруженными в JUNOS. Т.е. атакующий может у себя сгенерировать сертификат и использовать его для подключения к корпоративному VPN (IKE/IPsec).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Определён универсальный пароль для входа на межсетевые экраны Juniper ScreenOS
  3. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
  4. OpenNews: Почему Juniper помогает сообществу FreeBSD
  5. OpenNews: Компания Juniper откроет доступ к исходным текстам JUNOS
  6. OpenNews: Уязвимость в маршрутизаторах Juniper, приводящая к краху ядра JunOS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/44792-juniper
Ключевые слова: juniper
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Какаянахренразница (ok), 12:57, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    1. И сотворил Господь Бог решето. И посмотрел сквозь него на свет. И понял, что сотворил фигню. И хотел было аннигилировать его нафиг.
    2. Но увидел сие князь Тьмы. И сказал Богу: "Дай прикольнуться". И взял решето из рук господних. И бросил посреди дороги.
    3. В те дни шёл ходил той дорогой некий программист. И увидел выброшенное решето. И сказал человек в сердце своём: "Вот, выбросили хорошую вещь, почти новую".
    4. И решил программист: "Вот, лежит ничейное решето. Возьму решето, пропатчу и буду пользоваться."
     
     
  • 2.6, Dude (??), 14:11, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Навзрыд!
     
  • 2.13, Аноним (-), 16:16, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    5. И пользовался до обеда, пока не разогнали всех троих по палатам и газетку с продранными в ней дырками не отобрали.
     
  • 2.17, Аноним (-), 17:09, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И посмотрел сквозь него на свет. И понял, что сотворил фигню. Ибо булки хлеба в том мире росли на деревьях, о муке и надобности ее просеивания (как впрочем и целой кучи других "продуктов") не только пограммисты слыхом не слыхивали )
     
     
  • 3.18, Какаянахренразница (ok), 18:00, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ибо булки хлеба в том мире росли на деревьях, о муке и
    > надобности ее просеивания (как впрочем и целой кучи других
    > "продуктов") не только пограммисты слыхом не слыхивали )

    Добавим притче реализма.

    "И взял программист JunOS. И давай просеивать через неё муку."

     
  • 2.25, omnomnim (?), 19:47, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    красава
     

  • 1.4, Аноним (-), 13:33, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дак залепили же уже !
     
  • 1.5, Аноним (-), 14:00, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как можно было так лохануться?
     
     
  • 2.7, Аноним (-), 14:17, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проприетарщина - такая проприетарщина...
     
     
  • 3.9, rob pike (?), 14:30, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!
     
     
  • 4.10, Аноним (-), 15:14, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В опенссл пока не додумались проверять валидность серта по названию.
     
     
  • 5.11, Аноним (-), 15:37, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зато как дебиан пропатчил этот openssl... так всему интернет аукается;
     
     
  • 6.15, Аноним (-), 16:21, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > зато как дебиан пропатчил этот openssl... так всему интернет аукается;

    Дебиан в отличие от жунипера можно пропатчить самому.

     
     
  • 7.21, someone else (?), 18:52, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т.е., если у тебя взломали проприетарную софтину, то виновата компания, а если опенсорсную, то виноват ты сам, т.к. не сделал патч?
    Мне нравится этот подход
     
     
  • 8.22, rob pike (?), 19:07, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда виновата компания Потому что бесчеловечные капиталистические акулы забот... текст свёрнут, показать
     
     
  • 9.26, Аноним (-), 20:17, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    то есть виноват дебиан ... текст свёрнут, показать
     
     
  • 10.28, rob pike (?), 21:24, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, Debian - это артель, их всемерно поддерживали Совнарком, ЦК ВКП б , и даже ... текст свёрнут, показать
     
  • 7.27, Аноним (-), 20:18, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> зато как дебиан пропатчил этот openssl... так всему интернет аукается;
    > Дебиан в отличие от жунипера можно пропатчить самому.

    но что-то весь интернет не пропатчил - теперь пол интернета можно просто подобрать ключик к ssh.

     
  • 4.19, Z (??), 18:41, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!

    А ты давай ссылку на исходники закрытого аналога - мы сравним.

     
     
  • 5.23, rob pike (?), 19:10, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!
    > А ты давай ссылку на исходники закрытого аналога - мы сравним.

    https://realtimelogic.com/products/sharkssl/

    Договаривайтесь, покупайте лицензию на просмотр исходников, сравнивайте.

     
     
  • 6.30, Аноним (-), 11:55, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это не исходники
     
  • 5.35, Аноним (-), 19:02, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а если с либрой посравнивать ? там вроде /!%! повыкидывали из кодовой базы.
     
  • 2.24, EHLO (?), 19:28, 15/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Как можно было так лохануться?

    Ты про покупателей этого проприетарного растения, или про то что бэкдоры нужно лучше прятать?

     

  • 1.29, Аноним (-), 23:17, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что про Микротик скажете? Достойная штука??
     
     
  • 2.31, Mail (?), 12:05, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Переусложненная фигня
     
     
  • 3.34, Аноним (-), 16:16, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Переусложненная фигня

    да не, оно не сложнее какого-нить асуса или длинка из SOHO -коробок, просто там залочено все в дым а в тиках - оставили "крутилок".
    если надо больше - для части тиков есть и альтернативный фирмвер(на базе openwrt, ЕМНИП), но это своди смысл покупки тиков к нулю, тк есть платформы "из коробки" более подходящие для такой трансплантации, в тч из числа SOHO-франкенштейнов.


     
  • 2.33, Аноним (-), 16:14, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    процы жидкие и памяти мало. но если вам не нужно больше чем тамм поддерживается - то вполне. управляемая и неубиваемая штука.
    фирмвер жидкий, тк кроме ядра и нетфильтра, загрузчика - там от линукса мало что осталось. но соотв и поверхность атаки - поменьше.
    в общем - на любителя. но если хотите - попробуйте, может понравится. у нас многие даже домой ставят.
    но проца - реально мало.(можено конечно младших 1009 и 1016)CCR модели взять, но это совсем Другой ценник и шумность. а 3011 и дороговат и не так быстр как стоит.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру