The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В OpenSSL и LibreSSL устранены опасные уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от opennews (??) on 03-Май-16, 22:02 
Доступны корректирующие выпуски OpenSSL 1.0.1t (https://mta.openssl.org/pipermail/openssl-announce/2016-May/...) и 1.0.2h (https://mta.openssl.org/pipermail/openssl-announce/2016-May/...), в которых отмечено 6 уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-May/...), из которых опасность двух проблем оценена как высокая. Уязвимости также затрагивают (http://undeadly.org/cgi?action=article&sid=20160503153036) LibreSSL, исправления для которого пока доступны в виде патча (http://marc.info/?l=openbsd-announce&m=146228598930416&w=2).


Первая опасная уязвимость (CVE-2016-2108 (https://www.openssl.org/news/vulnerabilities.html#2016-2108)) исправлена ещё в апреле 2015 года (OpenSSL 1.0.2b, 1.0.1n, 1.0.0s), но в то время исправление было квалифицировано как устранение ошибки, а не уязвимости. Уязвимость приводит к возможности повреждения памяти кодировщика ASN.1 и записи данных вне границ буфера, что теоретически может быть использовано для организации исполнения кода злоумышленника при проверке, разборе и перекодировании специально оформленных сертификатов X509.


Вторая опасная уязвимость (CVE-2016-2107 (https://www.openssl.org/news/vulnerabilities.html#2016-2107)) позволяет организовать MITM-атаку по дешифровке защищённых соединений, в которых используется шифр AES CBC, если сервер поддерживает
AES-NI. Уязвимость была внесена вместе с исправлением для блокирования атак CVE-2013-0169 по анализу добавочного заполнения (padding oracle), в котором была потеряна проверка достаточно ли размера данных для MAC и заполнения.

Из неопасных уязвимостей (CVE-2016-2105 (https://www.openssl.org/news/vulnerabilities.html#2016-2105), CVE-2016-2106 (https://www.openssl.org/news/vulnerabilities.html#2016-2106)) отмечаются переполнения буфера при кодировании очень больших блоков в функциях EVP_EncodeUpdate() и  EVP_EncryptUpdate(). Так как данные функции используются для внутренних целей в инструментарии командной строки эксплуатация уязвимости отмечена как маловероятная из-за наличия в утилитах дополнительных проверок размера передаваемых данных, блокирующих атаку.


Проблема CVE-2016-2109 (https://www.openssl.org/news/vulnerabilities.html#2016-2109) связана с возможностью осуществления отказа в обслуживании через израсходование всей доступной процессу памяти при обработке определённых данных ASN.1 в функциях BIO.


Уязвимость CVE-2016-2176 (https://www.openssl.org/news/vulnerabilities.html#2016-2176) позволяет вернуть в буфере произвольные данные из стека при обработке в функции X509_NAME_oneline() на системах EBCDIC  строк ASN1 длинее 1024 байтов.


URL: http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...
Новость: http://www.opennet.dev/opennews/art.shtml?num=44367

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от Аноним (??) on 03-Май-16, 22:02 
А что там насчет BoringSsl
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 03-Май-16, 22:15 
Судя по коммитам в
https://boringssl.googlesource.com/boringssl/ дыры есть.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +2 +/
Сообщение от Аноним (??) on 04-Май-16, 10:33 
Хехе, видимо не помогли гуглу их крутые фузеры и санитайзеры
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –4 +/
Сообщение от grsec (ok) on 03-Май-16, 22:10 
Опять обновляться. Задолбали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +8 +/
Сообщение от Аноним (??) on 03-Май-16, 22:12 
ты небось и купаться ходишь раз в год в четверг перед пасхой?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от grsec (ok) on 03-Май-16, 22:18 
Что бы тебе Чаплин приснился.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +4 +/
Сообщение от Аноним (??) on 03-Май-16, 22:24 
Чарли Чаплин ?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от Аноним (??) on 04-Май-16, 01:49 
Если говорить на понятном тебе языке - Володька.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –3 +/
Сообщение от Какаянахренразница (ok) on 04-Май-16, 06:05 
Чтобы было понятно, нужна подпольная кличка. В списках завербованный ФСБ он под какой кличкой значится?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

6. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +2 +/
Сообщение от Буратино on 03-Май-16, 22:22 
Ты смотри, аккуратней юмори, а то он тебя забанит повсюду.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +2 +/
Сообщение от Анончег on 03-Май-16, 22:39 
> Несмотря на то, что проблема актуальна только для старых необновлённых версий, она затрагивает и пакеты в дистрибутивах, основанных на старых выпусках OpenSSL. В том числе уязвимости подвержены пакеты с openssl в Debian...

надо же, кто бы мог предположить, что как раз Дебиян?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от Аноним (??) on 04-Май-16, 01:51 
>> Несмотря на то, что проблема актуальна только для старых необновлённых версий, она затрагивает и пакеты в дистрибутивах, основанных на старых выпусках OpenSSL. В том числе уязвимости подвержены пакеты с openssl в Debian...
> надо же, кто бы мог предположить, что как раз Дебиян?

Сарказм - самая примитивная форма юмора. Итого, критика есть, как на счёт предложений?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

8. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +2 +/
Сообщение от iZEN email(ok) on 03-Май-16, 22:35 
Во FreeBSD 10-STABLE исправления добавили 5 минут назад.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от Michael Shigorin email(ok) on 04-Май-16, 15:33 
> Во FreeBSD 10-STABLE исправления добавили 5 минут назад.

http://packages.altlinux.org/openssl

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от Ilya Indigo (ok) on 03-Май-16, 22:36 
Ждём прилёта openssl-1.0.2h в зелёнке, а также пересобранных apache2, php5, php7 и конечно же openssh-6.6p1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 03-Май-16, 23:18 
> Ждём прилёта openssl-1.0.2h в зелёнке, а также пересобранных apache2, php5, php7 и
> конечно же openssh-6.6p1

А зачем их пересобирать? Или разделяемые библиотеки уже не в моде?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 01:59 
>> Ждём прилёта openssl-1.0.2h в зелёнке, а также пересобранных apache2, php5, php7 и
>> конечно же openssh-6.6p1
> А зачем их пересобирать? Или разделяемые библиотеки уже не в моде?

Безотносительно ОС и дистрибутивов.

Так библиотеки зачастую разделяемые между сторонними приложениями а не внутри минорной версии самой библиотеки. Одни делают симлинки на новую версию библиотеки вручную или доверяют эту операцию дистрибутиву, другие чтобы обновляют всё, чтобы не было распорок.

Про специфичный софт проверяющий версии/контрольные суммы библиотек молчу.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от Аноним (??) on 04-Май-16, 02:05 
>>> Ждём прилёта openssl-1.0.2h в зелёнке, а также пересобранных apache2, php5, php7 и
>>> конечно же openssh-6.6p1
>> А зачем их пересобирать? Или разделяемые библиотеки уже не в моде?
> Безотносительно ОС и дистрибутивов.
> Так библиотеки зачастую разделяемые между сторонними приложениями а не внутри минорной
> версии самой библиотеки. Одни делают симлинки на новую версию библиотеки вручную
> или доверяют эту операцию дистрибутиву, другие чтобы обновляют всё, чтобы не
> было распорок.

Блин. Я и забыл про маразм с симлинками (в Опёнке их нет). :( Молчу, молчу.

> Про специфичный софт проверяющий версии/контрольные суммы библиотек молчу.

o_O Я такое встречал в ОЧЕНЬ специфическом, сертифицируемом софте. Ну так туда и новые версии ничего не попадут. Потому что сертификацию повторно никто проходить не будет... Ещё такое может быть при использовании какого-нибудь монитора хакерской активности, но тут уж извините, откровенно ложноположительное срабатывание получается... Честное слово, не понимаю. Про какой специфичный софт вы говорите?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

11. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 03-Май-16, 23:10 
Хм, в Debian Jessie тоже прилетел апдейт. Несмотря на текст новости.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от бедный буратино (ok) on 04-Май-16, 05:28 
два дня вялотекущим образом собирал образы -stable для i386 и amd64... и вот.

да ну вас! нет никаких уязвимостей, враки это всё! не буду ничего пересобирать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +1 +/
Сообщение от Вареник on 04-Май-16, 06:25 
Самый важный компонент сетевой безопасности - самый дырявый...

Все в соответствии с Мерфи и Паркинсоном.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 07:58 
> Самый важный компонент сетевой безопасности - самый дырявый...

А король то голый! Не с проста последние годы очень активно навязывают переход всех на HTTPS. Типа приватность, слежка спецслужб и прочая муть, а то что в подвале все трубы давно сгнили забывают. Лет 15 назад HTTPS не ставили не потому, что было плевать на данные пользователей, а из-за того, что mod_ssl был дыряв и крив до безобразия. С nginx ситуация немного улучшилась, но openssl и gnutls хламом и остались.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –4 +/
Сообщение от Аноним email(??) on 04-Май-16, 07:51 
Опять повреждение памяти и выход за границы массива. Пора уже взять за правило писать криптографию только на управляемых языках. Медленно, зато огромный пласт ошибок и уязвимостей исчезнет как класс. Но нет, будет продолжать жрать кактус. В общем ССЗБ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 11:35 
клоун: Специально для тебя объясняю: проблемы с памятью является неизбежными, независимо от используемого ЯП. Если ЯП абстрагирует управление памятью, значит проблема спускается на уровень ниже, и теперь будет не в самом ПО, а в компиляторе/интерпритаторе. Попытка решить все проблемы выбрав "правильный" ЯП обречена на провал.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от Аноним email(??) on 04-Май-16, 13:09 
Неа. В это случае уменьшается количество точек отказа. Сравни: исправление ошибки в коде одного компилятора и исправление ошибки в коде тысяч проектов.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 13:59 
> клоун: Специально для тебя объясняю: проблемы с памятью является неизбежными, независимо
> от используемого ЯП.

Надеюсь, хоть с умным видом писалось?

> Если ЯП абстрагирует управление памятью, значит проблема спускается
> на уровень ниже, и теперь будет не в самом ПО, а
> в компиляторе/интерпритаторе.

Ну да, у GC и куча всяких проверок в рантайме, отсутствием которых так гордятся Ъ-язычнеги, совсем ничего не дают. Это же все знают! Поэтому сравнение/циферки подтверждающие сию умную мыслю мы никогда не увидим.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от Аноним (??) on 04-Май-16, 15:29 
клоун: Типичные ошибки по работе с памятью в ЯП, который сам управляет памятью.

Обращение за границу массива. Данные записываются не просто так, а с определённой целью. Если они не будут записаны, это вызовет логическую ошибку в другом месте кода.

Обращение к освобождённой или невыделенной памяти. Обращение на чтение к неинициализированным данным приведёт к логической ошибке в другом месте кода.

Запись/чтение в чужой буфер. Ошибку в написании имени переменной ЯП не отследит, а запись в чужой буфер приведёт к логической ошибке в другом месте кода.

Итог: мы заменили ошибку в месте её возникновения на ошибку, которая возникнет, но позже. Зачем?

Пока переменные хранятся в памяти, этой памятью нужно будет управлять.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 16:02 
> клоун: Типичные ошибки по работе с памятью в ЯП, который сам управляет
> памятью.

Это в какой вселенной они типичные?

> Обращение за границу массива. Данные записываются не просто так, а с определённой
> целью. Если они не будут записаны, это вызовет логическую ошибку в
> другом месте кода.

А ошибка при записи данных будет проигнорирована, потому что гладиолус? По этой же причине язык с авто-GC не будет ничего делать с границами массива – пользовоатель ЯП с ГЦ должен заниматься всем этим вручную, потому как языки с ГЦ для лохов и никаких преимуществ у них нет, только недостатки!

> Обращение к освобождённой или невыделенной памяти.
> Обращение на чтение к неинициализированным данным
> приведёт к логической ошибке в другом месте кода.

Во-первых, предупреждения еще никто не отменял.
Во-вторых, в некоторых ЯП это еще надо умудриться сделать.
В-третьих, найти обращение к неинициализированным переменным для всяких линтов намного проще, чем обращения к освобожденной памяти в языках с ручным управлением.


> Запись/чтение в чужой буфер. Ошибку в написании имени переменной ЯП не отследит,
> а запись в чужой буфер приведёт к логической ошибке в другом
> месте кода.

Гм, и каким боком тут управление памяти?

> Итог: мы заменили ошибку в месте её возникновения на ошибку, которая возникнет,
> но позже. Зачем?

Напоминает очередное "это не баг в моем 'привете миру', это баг в гцц!"

> Пока переменные хранятся в памяти, этой памятью нужно будет управлять.

И вы гордо, вручную освобождаете стек и регистры!

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от Аноним (??) on 04-Май-16, 16:30 
клоун: ЯП, управляющий памятью должен обработать последовательность команд:

1. создать массив из 10 элементов
2. присвоить 11-ому элементу массива значение N

Вариантов немного:
1. он проигнорирует вторую команду, чем вызовет логическую ошибку позднее
2. выполнение 2-ой команды приведёт к исключению, в таком случае его поведение немногим отличается от ситуации в существующих ЯП
3. он выполнит 2-ую команду, самопроизвольно (!) увеличив размер массива. Это сделает ЯП неуправляемым: создав массив размером 10 элементов, мы не можем быть уверены в его размере.

И речь я веду совсем не о сборщике мусора.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 16:55 

> 2. выполнение 2-ой команды приведёт к исключению, в таком случае его поведение
> немногим отличается от ситуации в существующих ЯП

В параллельных вселенных и сферических юзкейзах вполне возможно.
Но обычно народ таки предпочитает нарваться сразу на исключение, чем на непонятный баг, где далеко не сразу определишь, откуда у него "ноги растут".

> 3. он выполнит 2-ую команду, самопроизвольно (!) увеличив размер массива.

Да, это так внезапно для языка с автоматическим управлением памятью!
> Это сделает ЯП неуправляемым:

Кэп, залогинтесь!

> создав массив размером 10 элементов, мы не можем быть
> уверены в его размере.

И чем это плохо?
Во-первых, создайте массив на 10 элементов в плейн-си, сделайте gcc -S -O2 и удивитесь размерам.
Во-вторых, чем вы опять собрались там "управлять" и "рулить"?
Вы уж определитесь – вам шашечки в виде создания массива на 10 элементов и последующего рулежа оным …
Или все же ехать – хранить элементы, (которых может оказаться  11 вместо десяти).
Обычно таки


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 17:00 
Обычно таки народу нужно хранить элементы. Причем, продвинутые даже вполне могут посмотреть дефолтный размер, как и алгоритм увеличения массива.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

22. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от robux (ok) on 04-Май-16, 08:27 
Что характерно, все дыры пасутся на высоком уровне: либо в SSL, либо в стандартизированных форматах хранения сертификатов.

Какой вывод напрашивается?
Используй низкоуровневые функции и не используй всякие мутные "стандарты"!

(Сначала проленятся, насуют себе полную ж-пу ISO-шных стандартов, а потом удивляются, что там сифонит).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –3 +/
Сообщение от Аноним (??) on 04-Май-16, 14:54 
Подскажите-ка "низкоуровневую" либу для шифрования, да такую, чтоб не сифонило, с открытым кодом и поддерживаемую всеми? Нема? Ну так идите лесом с вашими советами.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 15:18 
> Подскажите-ка "низкоуровневую" либу для шифрования, да такую, чтоб не сифонило, с открытым
> кодом и поддерживаемую всеми? Нема? Ну так идите лесом с вашими
> советами.

libsodium. не?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –1 +/
Сообщение от robux (ok) on 04-Май-16, 16:48 
> Подскажите-ка "низкоуровневую" либу для шифрования

При чём здесь "низкоуровневая либа"?
Я сказал низкоуровневые функции!

А либа всё та же самая - OpenSSL (или LibreSSL, по вкусу).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

26. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 04-Май-16, 13:27 
Если что, то в debian7 версия 1.0.1k-3+deb8u5, а не та что в шапке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от КО on 04-Май-16, 16:43 
>Уязвимость была внесена вместе с исправлением для блокирования атак

Змей поедающий свой хвост. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В OpenSSL и LibreSSL устранены опасные уязвимости"  –2 +/
Сообщение от Аноним (??) on 05-Май-16, 21:14 
> В том числе уязвимости подвержены пакеты с openssl в Debian, RHEL/CentOS/Fedora, Ubuntu и SUSE, в которые исправление не было перенесено, так как оно было квалифицировано как устранение ошибки, а не уязвимости.

Вся суть штабильной тухлятины и цирка с бэкпортированием из апстрима. JWZ был прав.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "В OpenSSL и LibreSSL устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 06-Май-16, 11:21 
FreeBSD вчера выкатили обновления
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:17...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру