|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Критическая уязвимость в криптографической библиотеке PolarSSL" | +/– | |
Сообщение от opennews (??) on 19-Янв-15, 21:31 | ||
В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL (http://www.opennet.dev/opennews/art.shtml?num=31442) выявлена (https://polarssl.org/tech-updates/security-advisories/polars...) критическая уязвимость (http://www.certifiedsecure.com/polarssl-advisory/) (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
2. "Критическая уязвимость в криптографической библиотеке PolarS..." | +3 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 21:37 | ||
Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Критическая уязвимость в криптографической библиотеке PolarS..." | +1 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:32 | ||
> Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
16. "Критическая уязвимость в криптографической библиотеке PolarS..." | +3 +/– | |
Сообщение от Аноном on 19-Янв-15, 22:49 | ||
Точно, два типа дыр: случайные и критические. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
43. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 17:41 | ||
Все некритические - обязательно случайные? | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
3. "Критическая уязвимость в криптографической библиотеке PolarS..." | –3 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:14 | ||
> специально оформленных последовательностей ASN.1 | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "Критическая уязвимость в криптографической библиотеке PolarS..." | +6 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:29 | ||
> Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
10. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:42 | ||
В нем между прочим можно выбрать какие лезвия прикручивать - см. как это делают какие-нибудь опенвртшники. И основная масса лезвий по крайней мере не работает с внешними данными по сети. Не говоря о том что квалификация ядерных програмеров - зело выше средней по больнице. А обычную либу в юзермоде пишут черти кто. Спасибо если они хоть минимальное представление о криптографии имеют, а то вон в опенссл если попросить аппаратное ускорение - могут накормить сразу прямиком рандомом из аппаратного RNG, без подмешивания других источников энтропии. А бэкдоры в RNG - не, не слышали! А вот в лине одно только рассмотрение такой возможности вызывает саркастичные отповеди от какого-нибудь Теодора Тсо, который в общем то даже и не криптограф вроде. Так что в лине по поводу грубых плюх в криптографии получше чем у некоторых. Хотя и не идеально. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
12. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:44 | ||
> В нем между прочим можно выбрать какие лезвия прикручивать | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
15. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:47 | ||
> Но сути это не меняет. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
19. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Michael Shigorin (ok) on 19-Янв-15, 23:29 | ||
> Засчитывается то результат. В смысле, сломают вам систему или нет. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
22. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 20-Янв-15, 02:51 | ||
> Вообще-то способствует, вспомните недавние комментарии solardiz. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
23. "Критическая уязвимость в криптографической библиотеке PolarS..." | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 20-Янв-15, 03:48 | ||
>> Вообще-то способствует, вспомните недавние комментарии solardiz. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
30. "Критическая уязвимость в криптографической библиотеке PolarS..." | –3 +/– | |
Сообщение от клоун on 20-Янв-15, 12:08 | ||
Полная история изложена здесь: http://spbit.ru/news/n113886/ | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
47. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:13 | ||
> Полная история изложена здесь: http://spbit.ru/news/n113886/ | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
52. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 20:22 | ||
потому что расписание выпусков патчей важнее всего. | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
56. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:26 | ||
> потому что расписание выпусков патчей важнее всего. | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
57. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 21:33 | ||
>> потому что расписание выпусков патчей важнее всего. | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
18. "Критическая уязвимость в криптографической библиотеке PolarS..." | –3 +/– | |
Сообщение от Michael Shigorin (ok) on 19-Янв-15, 23:27 | ||
>> Ну не бывает швейцарский нож с 200 лезвиями | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
42. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 17:38 | ||
> Линукс -- это общее название набора заготовок, комплектов деталей, одно- и многоцелевых готовых инструментов. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
48. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:14 | ||
> Как и PolarSSL. От того, что вы его называете другими словами, суть | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
37. "Критическая уязвимость в криптографической библиотеке..." | –2 +/– | |
Сообщение от arisu (ok) on 20-Янв-15, 18:55 | ||
> даже в сватаемом Polar SSL случился полярный лис, да? :) | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
49. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:16 | ||
Ну ок, так и запишем - те кто пользуются PolarSSL - ССЗБ. Правда это касается и остальных реализаций SSL/TLS. Потому что в таком монстрятнике просто не может не быть багов. В том числе и багов ведущих к проблемам безопасности. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
55. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 20:24 | ||
а ещё в ядре баги есть. в том числе и ведущие к. ужас просто. твой выбор — счёты и голуби. хотя, конечно, даже там есть баги, ведущие к… | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
4. "Критическая уязвимость в криптографической библиотеке PolarS..." | –1 +/– | |
Сообщение от Crazy Alex (ok) on 19-Янв-15, 22:18 | ||
Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения - консервативный подход к добавлению фич и проверка временем. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
7. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:31 | ||
> Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
27. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Crazy Alex (ok) on 20-Янв-15, 09:26 | ||
Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в объятия "инновационного" кода, не прошедшего проверку временем. Не та сфера, где нужно много инноваций. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
41. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 17:37 | ||
> Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
46. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 19:18 | ||
сертифицированное говно магически превращается в конфетку! | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
54. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:23 | ||
> сертифицированное гoвно магически превращается в конфетку! | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
11. "Критическая уязвимость в криптографической библиотеке PolarS..." | +6 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:42 | ||
> - консервативный подход к добавлению фич и проверка временем. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
25. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от тоже Аноним (ok) on 20-Янв-15, 08:29 | ||
Ну да, главное - чтобы метод прошел проверку временем. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
28. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Crazy Alex (ok) on 20-Янв-15, 09:27 | ||
О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
32. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 20-Янв-15, 13:38 | ||
> О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает. | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
39. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Crazy Alex (ok) on 20-Янв-15, 21:01 | ||
Речь была не о том. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
40. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 17:34 | ||
Да все правильно выше сказали. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
45. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 19:16 | ||
угу. время — великий волшебник. заменяет все науки. что было хорошо для наших дедов — хорошо и для нас! | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
50. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:18 | ||
> угу. время — великий волшебник. заменяет все науки. что было хорошо для | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
6. "Критическая уязвимость в криптографической библиотеке PolarS..." | +3 +/– | |
Сообщение от доктор психиатор Котлетоватян on 19-Янв-15, 22:30 | ||
Ждём реализацию SSL на Rust. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
9. "Критическая уязвимость в криптографической библиотеке PolarS..." | +5 +/– | |
Сообщение от A.Stahl (ok) on 19-Янв-15, 22:33 | ||
Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя языках. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
13. "Критическая уязвимость в криптографической библиотеке PolarS..." | +1 +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:44 | ||
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
14. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 19-Янв-15, 22:46 | ||
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя языках. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
17. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от A.Stahl (ok) on 19-Янв-15, 22:50 | ||
>А вообще шумерская клинопись - самое то. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
21. "Критическая уязвимость в криптографической библиотеке PolarS..." | +2 +/– | |
Сообщение от Sw00p aka Jerom on 20-Янв-15, 00:47 | ||
>>А вообще шумерская клинопись - самое то. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
33. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 20-Янв-15, 13:39 | ||
>>А вообще шумерская клинопись - самое то. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
44. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 17:43 | ||
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом". | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
20. "Критическая уязвимость в криптографической библиотеке PolarS..." | –2 +/– | |
Сообщение от Sw00p aka Jerom on 20-Янв-15, 00:45 | ||
зачем ваще писать ? SSL уже похоронили - забыли ? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
34. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Sw00p aka Jerom on 20-Янв-15, 13:55 | ||
История с выявлением в SSLv3 уязвимости POODLE (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
24. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 20-Янв-15, 06:32 | ||
> Ждём реализацию SSL на Rust. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
26. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Макиавельев on 20-Янв-15, 09:12 | ||
Новость кагбэ про polarssl, не? | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
29. "Критическая уязвимость в криптографической библиотеке PolarS..." | +/– | |
Сообщение от Аноним (??) on 20-Янв-15, 10:24 | ||
Кого это волнует? | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
36. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 20-Янв-15, 18:52 | ||
а потому что malloc, используемый в любом коде, но особенно в security-critical коде, должен обнулять выделеный блок памяти автоматически. уж сколько раз твердили миру… | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
51. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от Аноним (??) on 21-Янв-15, 20:21 | ||
Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, показывающие что они нифига не смыслят в безопасности. Я правильно тебя понял? | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
53. "Критическая уязвимость в криптографической библиотеке..." | +/– | |
Сообщение от arisu (ok) on 21-Янв-15, 20:23 | ||
> Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |