The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.04.2017 10:42  Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx

В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и клиентское ПО, проверяющее сервер по серверному сертификату.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск LibreSSL 2.5.2
  3. OpenNews: Обновление OpenSSL 1.1.0e с устранением уязвимости
  4. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  5. OpenNews: Выпуск LibreSSL 2.5.0
  6. OpenNews: Доступен минималистичный дистрибутив Alpine Linux 3.5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 11:13, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]
  • –18 +/
    вот читаешь такое и думаешь, что лучше когда твой сервер вскроют через очередну... весь текст скрыт [показать]
     
     
  • 2.3, Онанимус (?), 11:22, 28/04/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    > то бишь выбора-то по сути уже и нет :)

    Знаете, я все таки рад за пользователя Петю, потому как дырки в хSSL достаточно редки, а вот публичный вайфай вокруг нас. Так же не стоит забывать, что когда уважаемый Аноним зайдет на свой уютненький серверок через публичный вайфай, то админку у него и угонят (

     
     
  • 3.4, Аноним (-), 11:27, 28/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    их чуть ли не каждый месяц находят. редки, да :)
    ну а нормальный админ свою сетку через впн админит.
     
     
  • 4.9, Аноним (-), 12:58, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    А в VPN, в отличие от SSL, дыр не находят? Даже если это какой-нибудь OpenVPN, использующий ту же самую библиотеку?
     
     
  • 5.15, cmp (ok), 14:32, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    через ssh вожно ВПНится, он в отличии от ssl пока держится
     
  • 3.5, Аноним (-), 11:39, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Ничего не угонят. Изучаем принцип работы SSH.
     
     
  • 4.7, Онанимус (?), 12:09, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Ничего не угонят. Изучаем принцип работы SSH.

    Вы об чем вообще? Я писал Анониму про админку форума ОпенНета, который Вы втыкаете.

     
     
  • 5.8, Аноним (-), 12:52, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А чего у них тут с админкой? Альт Линукс потёк?
     
     
  • 6.13, Аноним (-), 13:44, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > А чего у них тут с админкой? Альт Линукс потёк?

    А причем тут Альт? Опеннет уже вдруг на пингвина перевели?


     
     
  • 7.14, Аноним (-), 13:51, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Опеннет уже вдруг на пингвина перевели?

    С убунты?


     
     
  • 8.17, Аноним (-), 15:55, 28/04/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    >> Опеннет уже вдруг на пингвина перевели?
    > С убунты?

    Приготовьте огнетушитель, присядьте, дышите глубоко и ровно ... нет, не с убунты. Еще годика полтора назад это была фря.

     
     
  • 9.18, Аноним (-), 16:39, 28/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    А, да. Во Фре Сифилизиса нет, поэтому Фря может и полтора года стоять.
     
     
  • 10.20, Аноним (-), 21:30, 28/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > А, да. Во Фре Сифилизиса нет, поэтому Фря может и полтора года
    > стоять.

    Дышите глубуко, воспользуйтесь огнетушителем и попытайтесь более связно донести вашу мысль. Я верю в вас!


     
  • 5.16, Sw00p aka Jerom (?), 14:38, 28/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Тунель ссх пробросил и подключил сокс в браузере
     
  • 2.6, тоже Аноним (ok), 12:08, 28/04/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Читайте внимательнее перед тем, как думать.
    Эта "дырень" приводит только к тому, что сертификат не проверяется.
    Так что защищенный SSL сайт при эксплуатации "дырени" просто-напросто ничем не отличается от не защищенного SSL сайта, а этот вариант вас почему-то устраивает.
     
     
  • 3.25, камикадзе (?), 10:48, 29/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    этого мало? а ведь "проект" только-только начался!
     
     
  • 4.27, б.б. (?), 14:42, 29/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > этого мало? а ведь "проект" только-только начался!

    LibreSSL != LibreSSL portable

     
  • 4.30, пох (?), 19:59, 29/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > этого мало? а ведь "проект" только-только начался!

    э... проект начался пять лет назад, если мне память не изменяет.
    (три если portable версию рассматривать как что-то отдельное, а не как libtoolize запущенный в скопированных в сторонку исходниках. Во всяком случае, у меня есть пакет, собранный летом 2014, и это не версия 0.0)

    Вот что за все пять лет не было ни одной серьезной проблемы в форкнутой версии openssl, не унаследованной этим продуктом артели "напрасный труд" - это да, внушаить. (в более новых были, и это как раз нормально - они-то развиваются, а не "выбрасывают ненужное")

     
  • 2.31, типс (?), 19:15, 01/05/2017 [^] [ответить]    [к модератору]  
  • +/
    что за... при чем тут механизм проверки сертификата? каким интересно образом эта уязвимость позволяет слить инфу?
     
  • 1.12, пох (?), 13:36, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

    а альпайновцы-то, оказывается, не лохи. И неленивые, в отличие от некоторых.

    (впрочем, их нелень им окупится интересом публики)

     
     
  • 2.26, б.б. (?), 14:41, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    неудивительно - apline linux, это linux, основанный на культуре OpenBSD, с такими же привычками, понятиями и приоритетами
     
     
  • 3.29, пох (?), 19:50, 29/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > с такими же привычками, понятиями и приоритетами

    было б "с такими же" - нужно было сделать форк форка и насажать в нем своих, уникальных, грабель (не забыв поливать всходы абсолютно всех штатных).
    Видимо, все же, что-то отличается, в лучшую сторону.

     
  • 1.21, бедный буратино (ok), 03:12, 29/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    оно затрагивает только portable версию, или родную тоже?
     
     
  • 2.22, ssh (ok), 03:20, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    В http://www.openbsd.org/errata61.html пока тишина.
     
     
  • 3.23, б.б. (?), 10:25, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    я про это и говорю
     
  • 2.32, пох (?), 11:49, 02/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > оно затрагивает только portable версию, или родную тоже?

    -/* $OpenBSD: x509_vfy.c,v 1.57 2017/01/20 00:37:40 beck Exp $ */
    +/* $OpenBSD: x509_vfy.c,v 1.58 2017/01/21 01:07:25 beck Exp $ */

    собственно, было бы исключительно странно увидеть в portable хоть что-то, меняющее логику работы, не позаимствованное из первоисточника.

    ну а что они там все еще спят, говорит все о том же - не надо это использовать, не надо.

     
  • 1.28, Аноним (-), 15:42, 29/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Уязвимость в форке сделанном, чтобы избавиться от уязвимостей. Эпично!
     
     
  • 2.33, SoulMaster (??), 14:32, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    жаль тут нет лайков
     
     
  • 3.34, SoulMaster (??), 14:33, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > жаль тут нет лайков

    а нет, есть, затупил

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor