The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.11.2016 19:34  Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением DoS-уязвимости

Разработчики проекта OpenBSD представили корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx.

Проблема проявляется не только в LibreSSL, но и в OpenSSL и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6, а в OpenSSL в сентябрьских выпусках 1.1.0b и 1.0.2j (на момент выхода этих версий об уязвимости не было известно).

Дополнительно можно отметить публикацию предупреждения о выходе 10 ноября обновления OpenSSL 1.1.0c, в котором будет устранена порция уязвимостей, одной из проблем присвоен высокий уровень опасности.

  1. Главная ссылка к новости (https://marc.info/?l=openbsd-a...)
  2. OpenNews: DragonFly BSD перешел на LibreSSL по умолчанию
  3. OpenNews: Выпуск LibreSSL 2.4.2 и 2.3.7
  4. OpenNews: Выпуск LibreSSL 2.4.0
  5. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, XXX, 23:45, 07/11/2016 [ответить] [смотреть все]
  • +/
    В дырявом OpenSSL устранили проблему не дожидаясь, пока её уровень опасности поднимут до крайнего.
    Фиаско: в стабильных релизах и ответвлениях (LibreSSL) особенно стабильные баги.
     
     
  • 2.2, Аноним, 23:56, 07/11/2016 [^] [ответить] [смотреть все]
  • –1 +/
    Похоже пригорает, все они дырка.
     
     
  • 3.17, Аноним, 22:20, 08/11/2016 [^] [ответить] [смотреть все]
  • –1 +/
    Если у вас мегазы кода работающие с данными из сети - ну вы поняли В этих либах... весь текст скрыт [показать]
     
  • 1.3, бедный буратино, 01:54, 08/11/2016 [ответить] [смотреть все]  
  • –1 +/
    балин, опять всю систему компилять :(
     
     
  • 2.4, Аноним, 02:16, 08/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну не зря ж ты бедный буратино ;)
     
  • 2.5, Аноним, 02:20, 08/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    DEFAULT_VERSIONS ssl libressl-devel grep PORTVERSION usr ports security libr... весь текст скрыт [показать]
     
     
  • 3.7, бедный буратино, 02:39, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    >> балин, опять всю систему компилять :(
    > DEFAULT_VERSIONS+=ssl=libressl-devel
    > # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
    > PORTVERSION= 2.5.0

    и чё этот набор букв и цифр означает?

     
  • 2.6, бедный буратино, 02:39, 08/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    хотя нет, в собранном от 5 ноября это уже есть, собирать не надо:

    errata 6.0:

    015: RELIABILITY FIX: November 5, 2016   All architectures
    Avoid continual processing of an unlimited number of TLS records.
    A source code patch exists which remedies this problem.

     
  • 1.8, Меломан1, 10:41, 08/11/2016 [ответить] [смотреть все]  
  • –2 +/
    Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем счастье. Прокачка трафика увеличится на 90% с полным шифрованием.
    Ура товарищи!

    http://http-ss.com/

     
     
  • 2.9, Аноним, 11:10, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    И что, библиотеки шифрования в нём будут другие?
     
     
  • 3.10, Andrey Mitrofanov, 11:34, 08/11/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    > И что, библиотеки шифрования в нём будут другие?

    И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама

     
     
  • 4.14, Куяврег, 14:45, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    > И центры сертификации!!

    куда же без них! в них самая безопасность и гнездицца!

     
  • 2.11, Аноним, 12:06, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает ... весь текст скрыт [показать]
     
     
  • 3.19, Аноним, 22:28, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Народ догадывается что проприетарный протокол с отчислениями и какими-то специал... весь текст скрыт [показать]
     
  • 2.12, Аноним, 12:26, 08/11/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол ... весь текст скрыт [показать]
     
  • 2.13, Аноним, 12:33, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Это жулики Они хотят получать отчисления за использование, причём на уровне 1 ... весь текст скрыт [показать]
     
     
  • 3.20, Led, 00:09, 09/11/2016 [^] [ответить] [смотреть все]  
  • +/
    > Это жулики.

    Об этом можно легко догадаться по тому, кто рекламирует их здесь.

     
  • 2.18, Аноним, 22:23, 08/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Так, минуточку А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList