OpenForum RSS: Критическая уязвимость в криптографической библиотеке MbedTL... https://opennet.me/openforum/vsluhforumID3/111023.html В развиваемой компанией ARM криптографической библиотеке MbedTLS (https://github.com/ARMmbed/mbedtls) (бывший (https://www.opennet.ru/opennews/art.shtml?num=41118) PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=41492)) выявлена (http://blog.talosintelligence.com/2017/04/vulnerability-spotlight-arm-tls.html) критическая уязвимость (http://www.talosintelligence.com/reports/TALOS-2017-0274/) (CVE-2017-2784 (https://security-tracker.debian.org/tracker/CVE-2017-2784)), которая может привести к удалённому выполнению кода при обработке специально оформленного сертификата x509. Уязвимость устранена в выпуске MbedTLS 2.4.2.<br><br><br><br>Проблема вызвана ошибкой в коде обработки криптографических ключей на базе эллиптических кривых secp224k1. Атакующий может сформировать публичный ключ и сертификат x509, при проверке ключа которым будет очищен указатель стека, что может быть использовано для организации атаки. Уязвимость может быть эксплуатирована со стороны клиента и сервера. На современных стационарных системах вер Критическая уязвимость в криптографической библиотеке MbedTL... (sage) https://opennet.me/openforum/vsluhforumID3/111023.html#9 Sat, 22 Apr 2017 08:44:54 GMT Вероятно, чтобы качать торрент-файлы по HTTPS.<br> Критическая уязвимость в криптографической библиотеке MbedTL... (Онанимус) https://opennet.me/openforum/vsluhforumID3/111023.html#8 Fri, 21 Apr 2017 13:33:06 GMT Зачем же он тянет libssl?<br><br># opkg info transmission-daemon-mbedtls&#124;grep -i depend<br>Depends: libc, libcurl, libpthread, libevent2, librt, zlib, libmbedtls<br><br>Одна радость:<br><br># opkg info libmbedtls&#124;grep -i ver<br>Version: 2.4.2-1<br> Критическая уязвимость в криптографической библиотеке MbedTL... (ламерский опеннет) https://opennet.me/openforum/vsluhforumID3/111023.html#7 Fri, 21 Apr 2017 09:35:11 GMT в торрентах не используется инфраструктура сертикатов, как и асимметричное шифрование. так что можешь быть спокоен :)<br> Критическая уязвимость в криптографической библиотеке MbedTL... (Онанимус) https://opennet.me/openforum/vsluhforumID3/111023.html#6 Fri, 21 Apr 2017 06:38:26 GMT Я мог. Когда я ставил трансмишн на свой домашний роутер с LEDE, он потянул по зависимостям libssl. Ну я и выбрал mbedtls, потому что он меньше. <br>Интересно, используются ли сертификаты на эллиптических кривых в торренте?<br> Критическая уязвимость в криптографической библиотеке MbedTL... (robux) https://opennet.me/openforum/vsluhforumID3/111023.html#5 Thu, 20 Apr 2017 15:22:10 GMT &gt; Проблема вызвана ошибкой в коде обработки криптографических ключей<br>&gt; Уязвимость устранена.<br><br>Горькая слеза текла по щеке майора..<br> Критическая уязвимость в криптографической библиотеке MbedTL... (Нанобот) https://opennet.me/openforum/vsluhforumID3/111023.html#4 Thu, 20 Apr 2017 10:36:13 GMT у них на сайте есть список "our users": linksys,powerdns,nginx,openvpn,goverment of netherlands<br> Критическая уязвимость в криптографической библиотеке MbedTL... (Аноним) https://opennet.me/openforum/vsluhforumID3/111023.html#1 Thu, 20 Apr 2017 09:40:09 GMT Кто мог пострадать от этой уязвимости? Есть предположения?<br>