The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.04.2017 10:42  Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx

В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и клиентское ПО, проверяющее сервер по серверному сертификату.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск LibreSSL 2.5.2
  3. OpenNews: Обновление OpenSSL 1.1.0e с устранением уязвимости
  4. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  5. OpenNews: Выпуск LibreSSL 2.5.0
  6. OpenNews: Доступен минималистичный дистрибутив Alpine Linux 3.5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 11:13, 28/04/2017 [ответить] [смотреть все]
  • –18 +/
    вот читаешь такое и думаешь, что лучше когда твой сервер вскроют через очередну... весь текст скрыт [показать]
     
     
  • 2.3, Онанимус, 11:22, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Знаете, я все таки рад за пользователя Петю, потому как дырки в хSSL достаточно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, Аноним, 11:27, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    их чуть ли не каждый месяц находят редки, да ну а нормальный админ свою сетк... весь текст скрыт [показать]
     
     
  • 4.9, Аноним, 12:58, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А в VPN, в отличие от SSL, дыр не находят Даже если это какой-нибудь OpenVPN, и... весь текст скрыт [показать]
     
     
  • 5.15, cmp, 14:32, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    через ssh вожно ВПНится, он в отличии от ssl пока держится
     
  • 3.5, Аноним, 11:39, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Ничего не угонят. Изучаем принцип работы SSH.
     
     
  • 4.7, Онанимус, 12:09, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы об чем вообще Я писал Анониму про админку форума ОпенНета, который Вы втыкае... весь текст скрыт [показать]
     
     
  • 5.8, Аноним, 12:52, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А чего у них тут с админкой? Альт Линукс потёк?
     
     
  • 6.13, Аноним, 13:44, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А причем тут Альт Опеннет уже вдруг на пингвина перевели ... весь текст скрыт [показать]
     
     
  • 7.14, Аноним, 13:51, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    > Опеннет уже вдруг на пингвина перевели?

    С убунты?


     
     
  • 8.17, Аноним, 15:55, 28/04/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Приготовьте огнетушитель, присядьте, дышите глубоко и ровно нет, не с убунты... весь текст скрыт [показать]
     
     
  • 9.18, Аноним, 16:39, 28/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А, да. Во Фре Сифилизиса нет, поэтому Фря может и полтора года стоять.
     
     
  • 10.20, Аноним, 21:30, 28/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Дышите глубуко, воспользуйтесь огнетушителем и попытайтесь более связно донести ... весь текст скрыт [показать]
     
  • 5.16, Sw00p aka Jerom, 14:38, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Тунель ссх пробросил и подключил сокс в браузере
     
  • 2.6, тоже Аноним, 12:08, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Читайте внимательнее перед тем, как думать Эта дырень приводит только к тому,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, камикадзе, 10:48, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    этого мало? а ведь "проект" только-только начался!
     
     
  • 4.27, б.б., 14:42, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    LibreSSL LibreSSL portable... весь текст скрыт [показать]
     
  • 4.30, пох, 19:59, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    э проект начался пять лет назад, если мне память не изменяет три если porta... весь текст скрыт [показать]
     
  • 2.31, типс, 19:15, 01/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    что за при чем тут механизм проверки сертификата каким интересно образом эта... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, пох, 13:36, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    > Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

    а альпайновцы-то, оказывается, не лохи. И неленивые, в отличие от некоторых.

    (впрочем, их нелень им окупится интересом публики)

     
     
  • 2.26, б.б., 14:41, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    неудивительно - apline linux, это linux, основанный на культуре OpenBSD, с таким... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, пох, 19:50, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    было б с такими же - нужно было сделать форк форка и насажать в нем своих, уни... весь текст скрыт [показать]
     
  • 1.21, бедный буратино, 03:12, 29/04/2017 [ответить] [смотреть все]  
  • +/
    оно затрагивает только portable версию, или родную тоже?
     
     
  • 2.22, ssh, 03:20, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В http://www.openbsd.org/errata61.html пока тишина.
     
     
  • 3.23, б.б., 10:25, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    я про это и говорю
     
  • 2.32, пох, 11:49, 02/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > оно затрагивает только portable версию, или родную тоже?

    -/* $OpenBSD: x509_vfy.c,v 1.57 2017/01/20 00:37:40 beck Exp $ */
    +/* $OpenBSD: x509_vfy.c,v 1.58 2017/01/21 01:07:25 beck Exp $ */

    собственно, было бы исключительно странно увидеть в portable хоть что-то, меняющее логику работы, не позаимствованное из первоисточника.

    ну а что они там все еще спят, говорит все о том же - не надо это использовать, не надо.

     
  • 1.28, Аноним, 15:42, 29/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Уязвимость в форке сделанном, чтобы избавиться от уязвимостей. Эпично!
     
     
  • 2.33, SoulMaster, 14:32, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    жаль тут нет лайков
     
     
  • 3.34, SoulMaster, 14:33, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > жаль тут нет лайков

    а нет, есть, затупил

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor