The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.1.0c с устранением уязвимости в реализации ChaCha20/Poly1305

10.11.2016 21:53

Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости, среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.

  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Критическая уязвимость в OpenSSL 1.1.0a
  3. OpenNews: Обновление OpenSSL с устранением 14 уязвимостей
  4. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  5. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  6. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:39, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Криптомакаки из OpenSSL не исправились даже после доната их крупными конторами.
     
     
  • 2.9, Аноним (-), 00:39, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Так, блин, понаделали аудита а макаки еще кода написать успели. И опять с багами. Да, это вам не DJB...
     
     
  • 3.14, Аноним (-), 02:05, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://www.peereboom.us/assl/assl/html/openssl.html поколение биберов минусует.

    [code]
    The certificate expired on 10/23/2016 01:51 AM.
    [/code]
    HTTPS FAIL.

     

  • 1.2, Аноним (-), 22:49, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как nginx c libressl собрать или не надо этого делать чтобы вместо чудес страны дыр использовать что-то нормальное да к тому же и свободное?
     
     
  • 2.3, Онанон (?), 23:11, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=nginx-libressl#n52

    Примерно вот так.

     

  • 1.4, Аноним (-), 23:15, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Мыши плакали кололись, но продолжали OpenSSL
     
  • 1.5, Аноним (-), 23:21, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ппц, а просто взять эталонную реализацию религия не позволяет, ага
     
     
  • 2.7, Онанон (?), 23:23, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ппц, а просто взять эталонную реализацию религия не позволяет, ага

    Вот да. Из nacl, libsodium или, банально, libressl можно было тупо скопипастить и не выпендриваться.

     
  • 2.10, Аноним (-), 00:40, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ппц, а просто взять эталонную реализацию религия не позволяет, ага

    Хочется же ощутить себя круче DJB. Ну вот и ощутили. В дыростроении они намного круче.

     

  • 1.6, Аноним (-), 23:23, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    % wget -qO- https://cr.yp.to/streamciphers/timings/estreambench/submissions/salsa20/chacha | wc -l
    114
    Серьёзно?
     
     
  • 2.11, Аноним (-), 00:46, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > 114
    > Серьёзно?

    Это DJB, чувак! У меня 25519 + poly1305 + salsa20 из tweetnacl'а уместились в ТРИ КИЛОБАЙТА кода Cortex M. И я теперь на тощем микроконтроллере и то с публичным крипто. Ну что, openssl, крипто то надо было делать вот так...

     

  • 1.8, Crazy Alex (ok), 23:44, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка с изменившимся API, которой полугода нет. Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.
     
     
  • 2.12, Аноним (-), 00:49, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка
    > с изменившимся API, которой полугода нет. Не уверен, что ей вообще
    > хоть какой-то серьйзный софт пользуется.

    Тем кто openssl пишет лучше на завалинке сидеть. Нет, рассаду выращивать я им ссыкую предлагать - от мутантов заманаешься отмахиваться потом при их отношении к делу.

     
  • 2.15, anonymous (??), 09:38, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.

    Еще не успели портировать

     

  • 1.16, Аноним (-), 12:33, 11/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305"

    КАК?! Как они умудрились ошибку там сделать...

     
  • 1.17, Аноним (-), 16:35, 11/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я смотрю, в комментах собрались всемирно признанные программеры-криптографы, не совершающие ошибок. Я прям аж смутился в такой компании...
     
     
  • 2.18, Аноним (-), 18:43, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Знаешь, есть такая хорошая поговорка: не умеешь - не берись. Знаешь, я могу и не быть экспертом проектирования автомобилей чтобы быть недовольным результатом краштестов некоторых китайцев и обходить такие продукты стороной.

    Ну так вот: результаты краштестов openssl - неудовлетворительные. Более того - посадить vuln в трех строках кода, который годами у людей работал без приключений - это вообще EPIC FAIL. Особенно в штуке которая априори ворочает внешние данные из сети.

     
     
  • 3.21, Фкук (?), 14:30, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > vuln в трех строках кода, который годами у людей работал без
    > приключений - это вообще EPIC FAIL. Особенно в штуке которая априори
    > ворочает внешние данные из сети.

    Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.


     
     
  • 4.23, Аноним (-), 03:15, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.

    Там на всю либу один комментарий. И он такой что модераторы его снесли. Надеюсь знание этого факта дает исчерпывающее представление о качестве либы, ее API и проч.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру