The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В LibreSSL выявлены две специфичные уязвимости, не затрагива..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от opennews (??) on 16-Окт-15, 13:43 
В ходе проведённого компанией Qualys аудита (https://www.opennet.dev/opennews/art.shtml?num=43090) SMTP-сервера OpenSMTPD, всплыли (http://seclists.org/oss-sec/2015/q4/87) две новые  узявмости в развиваемой проектом OpеnBSD библиотеке  LibreSSL, функции которой используются в OpenSMTPD. Разработчики OpenBSD уже выпустили (http://permalink.gmane.org/gmane.os.openbsd.announce/250) обновления LibreSSL 2.0.6, 2.1.8 и 2.2.4 (выпуск 2.3.1 пока не готов), а также патчи для OpenBSD 5.6, 5.7 и 5.8, в которых устранены выявленные проблемы. Уязвимости специфичны для LibreSSL и не проявляются в OpenSSL.


Обе проблемы присутствуют в функции OBJ_obj2txt. Первая уязвимость (CVE-2015-5333) вызвана утечкой памяти, позволяющей совершить DoS-атаку через исчерпание доступной памяти. Вторая уязвимость (CVE-2015-5334) даёт возможность осуществить однобайтовое переполнение буфера в стеке, что потенциально может привести к организации удалённого выполнения кода в системе при обработке специально оформленных сертификатов X.509. Отмечается, что в OpenBSD  на системах x86 проблема скорее всего не может быть эксплуатирована, так как переполнение возникает в стеке, для защиты которого в OpenBSD применяются дополнительные меры.


URL: http://seclists.org/oss-sec/2015/q4/87
Новость: http://www.opennet.dev/opennews/art.shtml?num=43146

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +12 +/
Сообщение от Аноним (??) on 16-Окт-15, 13:43 
"..стрижка только началась.."©
и ведь форкнули совсем недавно..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +11 +/
Сообщение от Аноним (??) on 16-Окт-15, 13:57 
Вот тебе, батенька, и "чистка кода".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:29 
> Вот тебе, батенька, и "чистка кода".

А это сильно зависит от того, кто чистит. В данном случае все вполне закономерно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

36. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 17-Окт-15, 10:17 
Вот если бы анонимы опеннета чистили...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 14:20 
Безопасность за счет фрагментации же.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +2 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:31 
> Безопасность за счет фрагментации же.

Работает так: платформа фрагментирована => никто не хочет под нее разрабатывать, бо гемор => платформа не используется => платформу не взламывают. Успех!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +4 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:17 
У Тео начнет подгорать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от б.б. on 17-Окт-15, 03:22 
на OpenBSD уязвимость не работает, как и большинство других, ибо средств активной безопасности - полная коробка

а проблемы портеров Тео не волнуют. ибо есть только одна истинная платформа :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +2 +/
Сообщение от Нимано on 16-Окт-15, 15:30 
Опять как с openssl: пилило 3,5 человека за "спасибо",  а пол-мира пользовалось, не считая нужным поддержать проект.
Зато в  сразу же нашлись экспертные критеги, которые "всегда знали!".
ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:32 
> ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.

Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные Д'Артаньяны, все равно лучше знают, как все должно быть.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +4 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:43 
>> ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
> Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные
> Д'Артаньяны, все равно лучше знают, как все должно быть.

Нет, лучше всего знают аналитики с Опеннета.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +3 +/
Сообщение от Аноним (??) on 16-Окт-15, 15:50 
> Нет, лучше всего знают аналитики с Опеннета.

Если бы у Тео был аккаунт на Опеннете...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 16-Окт-15, 16:00 
Можно и без аккаунта
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 17-Окт-15, 01:27 
Ну, раз ты точно знаешь, что у Тео нет аккаунта здесь, значит... Ты - Тео! Добро пожаловать, мужик!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 17-Окт-15, 01:51 
Конечно. Нужно просто все изначально написать без уязвимостей (С) Аноним
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 16-Окт-15, 21:25 
> Нет, лучше всего знают аналитики с Опеннета.

Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
В том плане, что трепаться умеют гораздо лучше, чем писать код :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 16-Окт-15, 22:16 
А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Ytch (ok) on 17-Окт-15, 19:37 
> А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.

Что за дискриминация? Почему именно местные линукс-аналитики? Ведь "человек со стороны", прочитав такое может совершенно несправедливо подумать будто остальные местные аналитики (назовем их "местные всё-кроме-линукс-аналитики") им в этом уступают.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от б.б. on 17-Окт-15, 03:25 
> Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
> В том плане, что трепаться умеют гораздо лучше, чем писать код :)

в OpenBSD даже актёры пишут драйверы на C :)

но вообще, смешно видеть такую демаогогию, когда новый релиз OpenBSD выходит каждые полгода, а от анонимных аналитиков сложно ожидать хоть какой-то организованности

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

10. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  –1 +/
Сообщение от Нимано on 16-Окт-15, 15:49 
> Разрабы опенка, особенно Тео,

повторяю
>> Опять как с openssl

т.е. причем тут Тео со своим супир-пупер-безопасным (ну а как еще может быть, когда сам определяешь значение этого слова) опененком?

> как истинные опеннетчики, все равно лучше знают, как все должно быть.

Быстрофикс.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +3 +/
Сообщение от . on 16-Окт-15, 15:58 
> Опять как с openssl: пилило 3,5 человека за "спасибо",  а пол-мира пользовалось, не
> считая нужным поддержать проект.

во-первых, отучайтесь говорить за пол-мира.
Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к чему он приходит. Не думаю, что я один.

Во-вторых, а нахрена поддерживать дерьмопроект? Не-е-е-ет, ребята, так не бывает - массовый донейт (и возможность обналичиться по крупному) появляется только у тех, кто _уже_ доказал что он людям нужен. nginx, как пример.
Не можете - просто уходите. Без вас мир не рухнет, еще ни разу не было такого.

В третьих, openssl никогда "за спасибо" не пилили. За спасибо был сделат его предок ssleay, но аффтар сдал свой дисер и ему стало не интересно. А openssl пилился на гранты.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Нимано on 16-Окт-15, 16:22 
> во-первых, отучайтесь говорить за пол-мира.
> Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к
> чему он приходит. Не думаю, что я один.

...
> А openssl пилился на гранты.

Во-во. Хотя использовался на разномастных девайсах и "сурьезным бизнесом". Вон, сколько было ора, когда понадобилось сменить сертификаты.


> Во-вторых, а нахрена поддерживать дерьмопроект?

Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.

Просто показательно именно "внезапное" появление "знатоков" (далеко не только на оппеннете) типа "я всегда знал! Я знал, что они криворукие бибизьяны! Я вумный!" после таких "фейлов".
А вот аргументированных "почему этим проектом не стоит пользоваться" или тем более альтернатив или еще чего в том же духе ДО – днем с огнем не сыщешь.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от . on 16-Окт-15, 16:54 
>> Во-вторых, а нахрена поддерживать дерьмопроект?
> Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.

это, если кто не понял, был риторический вопрос.
Поддержка (деньгами или патчами) libressl могла бы (уже, пожалуй, надо говорить в прошедшем условном) стать большей, если бы они делом доказали, что они лучше. И только так это работает в мире софтописательства - стулья вперед денег.
А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!
Это "достижение" привлечет массу донейта, патчей и новых восторженных пользователей.

> А вот аргументированных "почему этим проектом не стоит пользоваться"

тут, собственно, то же самое - заплатите за анализ, будет анализ.
Мое мнение - что не стоит. Но мне неинтересно никого убеждать (собственно, я крайне заинтересован в том, чтобы побольше людей думали наоборот).

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Анонимм (??) on 17-Окт-15, 02:45 
>А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!

Ну это если оценивать в стиле белки-истерички. Давай лучше сделаем сумму всех уязвимостей обнаруженных в libressl и openssl со времен форка и посмотрим.

OpenSSL: 5 high, 28 medium, 10 low
Total: 36
LibreSSL 0 high, 15 medium, 7 low
Total: 22

После этого есть повод не доверять OpenSSL и не поддерживать его чем-либо тем более.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от б.б. on 17-Окт-15, 03:27 
> А нынешний фейл - к сожалению

существует только в твоей голове :)

ну и заодно показывает средний уровень развития среднего опеннет-аналитика :)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

38. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от i_stas (ok) on 18-Окт-15, 17:57 
> Я вумный!" после таких "фейлов".

/скажу за всех/ Нам плевать.

До "таких фейлов" вы нас оскорбляли за то, что мы вас предупреждали.
Теперь вы нас оскорбляете за то, что вы не верили нам прежде.

Продолжайте оскорбления.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 16:39 
Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +3 +/
Сообщение от Аноним (??) on 16-Окт-15, 18:39 
> Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.

Всё бы ничего, если бы он много думал о себе в соцсетях и не лез в реальный мир.

Но он почему-то считает, что он отличный лидер и исключительно компетентен в информационной безопасности, хотя второе не соответствует действительности и никогда не соответствовало.

Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  –2 +/
Сообщение от Аноним (??) on 16-Окт-15, 20:33 
Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время. То же и про LibreSSL.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 20:49 
Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в дефолтном опененке можно использовать для удаленного неавторизированного выполнения кода. Остальное не считается.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 21:23 
> Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в
> дефолтном опененке можно использовать для удаленного неавторизированного выполнения
> кода. Остальное не считается.

Ага. Причем, как только админ запускает минимальный набор служб (хотя бы MTA), число дыр значительно увеличивается. Но их уже никто не считает, потому что это невыгодно для репутации.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  –1 +/
Сообщение от Аноним (??) on 16-Окт-15, 21:49 
Мне все равно, что там называют уязвимостями. Я подразумевал обычное значение слова.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +1 +/
Сообщение от Аноним (??) on 16-Окт-15, 21:19 
> Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.

Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние EPIC PWN дыры в opensmtpd.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 16-Окт-15, 21:56 
Так давай по другой методике. В любом случае OpenBSD безопаснее.

https://web.nvd.nist.gov/view/vuln/search-results?query=post...

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

34. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от б.б. on 17-Окт-15, 04:00 
>> Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.
> Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние
> EPIC PWN дыры в opensmtpd.

ты уже сломал хоть одну из этих "дыр"? или кто-нибудь сломал?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от б.б. on 17-Окт-15, 03:29 
> Всё бы ничего, если бы он много думал о себе в соцсетях
> и не лез в реальный мир.
> Но он почему-то считает, что он отличный лидер и исключительно компетентен в
> информационной безопасности, хотя второе не соответствует действительности и никогда
> не соответствовало.

неужели он к тебе в окно лезет? :)


Нет, детка. Тео отличный лидер и исключительно компетентен. И выпускает успешный нишевой продукт, который у всех на слуху, уже 20 лет. И тебя это бесит. "Баба Яга - против"

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

39. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 19-Окт-15, 16:15 
> Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.

Ей занимался и занимается целый ряд людей (кое-кто из них впоследствии стал коммиттером OpenBSD): Bob Beck, Brent Cook, Doug Hogan, Joel Sing...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от Аноним (??) on 16-Окт-15, 21:20 
> Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать
> мешает тот факт, что какой-то канадец много о себе думает.

Вы так говорите, как будто этот канадец не такой же хейтер :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "В LibreSSL выявлены две специфичные уязвимости, не затрагива..."  +/
Сообщение от б.б. on 17-Окт-15, 04:04 
Они ещё  Королёва научат в космос летать :)

Когда картина мира маахонька и ууузенькка, тогда кажется, что всё понятно :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру