The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Возможность обхода проверки сертификатов в продуктах Juniper..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от opennews (ok) on 15-Июл-16, 12:37 
В операционной системе JUNOS (https://ru.wikipedia.org/wiki/JUNOS), используемой в различных сетевых устройствах компании Juniper, выявлена серьёзная уязвимость (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) (CVE-2016-1280), позволяющая обойти проверки по цифровым сертификатам, заверенным удостоверяющими центрами. Суть проблемы в том, что JUNOS воспринимает как корректные любые самоподписанные сертификаты, имя создателя в которых совпадают с корректными сертфикатами, загруженными в JUNOS. Т.е. атакующий может у себя сгенерировать сертификат и использовать его для подключения к корпоративному VPN (IKE/IPsec).

URL: http://arstechnica.com/security/2016/07/crypto-flaw-made-it-.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=44792

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +16 +/
Сообщение от Какаянахренразница (ok) on 15-Июл-16, 12:57 
1. И сотворил Господь Бог решето. И посмотрел сквозь него на свет. И понял, что сотворил фигню. И хотел было аннигилировать его нафиг.
2. Но увидел сие князь Тьмы. И сказал Богу: "Дай прикольнуться". И взял решето из рук господних. И бросил посреди дороги.
3. В те дни шёл ходил той дорогой некий программист. И увидел выброшенное решето. И сказал человек в сердце своём: "Вот, выбросили хорошую вещь, почти новую".
4. И решил программист: "Вот, лежит ничейное решето. Возьму решето, пропатчу и буду пользоваться."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +2 +/
Сообщение от Dude (??) on 15-Июл-16, 14:11 
Навзрыд!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +1 +/
Сообщение от Аноним (??) on 15-Июл-16, 16:16 
5. И пользовался до обеда, пока не разогнали всех троих по палатам и газетку с продранными в ней дырками не отобрали.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +1 +/
Сообщение от Аноним (??) on 15-Июл-16, 17:09 
> И посмотрел сквозь него на свет. И понял, что сотворил фигню. Ибо булки хлеба в том мире росли на деревьях, о муке и надобности ее просеивания (как впрочем и целой кучи других "продуктов") не только пограммисты слыхом не слыхивали )
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +4 +/
Сообщение от Какаянахренразница (ok) on 15-Июл-16, 18:00 
> Ибо булки хлеба в том мире росли на деревьях, о муке и
> надобности ее просеивания (как впрочем и целой кучи других
> "продуктов") не только пограммисты слыхом не слыхивали )

Добавим притче реализма.

"И взял программист JunOS. И давай просеивать через неё муку."

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от omnomnim on 15-Июл-16, 19:47 
красава
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +1 +/
Сообщение от Аноним (??) on 15-Июл-16, 13:33 
Дак залепили же уже !
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Аноним (??) on 15-Июл-16, 14:00 
Как можно было так лохануться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +2 +/
Сообщение от Аноним (??) on 15-Июл-16, 14:17 
Проприетарщина - такая проприетарщина...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от rob pike on 15-Июл-16, 14:30 
Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +2 +/
Сообщение от Аноним (??) on 15-Июл-16, 15:14 
В опенссл пока не додумались проверять валидность серта по названию.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Возможность обхода проверки сертификатов в продуктах Juniper..."  –1 +/
Сообщение от Аноним (??) on 15-Июл-16, 15:37 
зато как дебиан пропатчил этот openssl... так всему интернет аукается;
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +3 +/
Сообщение от Аноним (??) on 15-Июл-16, 16:21 
> зато как дебиан пропатчил этот openssl... так всему интернет аукается;

Дебиан в отличие от жунипера можно пропатчить самому.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Возможность обхода проверки сертификатов в продуктах Juniper..."  –1 +/
Сообщение от someone else on 15-Июл-16, 18:52 
Т.е., если у тебя взломали проприетарную софтину, то виновата компания, а если опенсорсную, то виноват ты сам, т.к. не сделал патч?
Мне нравится этот подход
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от rob pike on 15-Июл-16, 19:07 
Всегда виновата компания. Потому что бесчеловечные капиталистические акулы заботятся только о своей прибыли, а на счастье трудового народа им наплевать.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Возможность обхода проверки сертификатов в продуктах Juniper..."  –1 +/
Сообщение от Аноним (??) on 15-Июл-16, 20:17 
то есть виноват дебиан ?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +2 +/
Сообщение от rob pike on 15-Июл-16, 21:24 
Нет, Debian - это артель, их всемерно поддерживали Совнарком, ЦК ВКП(б), и даже лично товарищ Сталин, в частности, в своей работе "Экономические проблемы социализма в СССР".
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Возможность обхода проверки сертификатов в продуктах Juniper..."  –1 +/
Сообщение от Аноним (??) on 15-Июл-16, 20:18 
>> зато как дебиан пропатчил этот openssl... так всему интернет аукается;
> Дебиан в отличие от жунипера можно пропатчить самому.

но что-то весь интернет не пропатчил - теперь пол интернета можно просто подобрать ключик к ssh.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Z (??) on 15-Июл-16, 18:41 
> Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!

А ты давай ссылку на исходники закрытого аналога - мы сравним.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от rob pike on 15-Июл-16, 19:10 
>> Поэтому у OpenSSL всё вдвойне замечательно - у неё ведь 'Open' даже в названии!
> А ты давай ссылку на исходники закрытого аналога - мы сравним.

https://realtimelogic.com/products/sharkssl/

Договаривайтесь, покупайте лицензию на просмотр исходников, сравнивайте.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Аноним (??) on 16-Июл-16, 11:55 
Это не исходники
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

35. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Аноним (??) on 17-Июл-16, 19:02 
а если с либрой посравнивать ? там вроде /!%! повыкидывали из кодовой базы.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +1 +/
Сообщение от EHLO on 15-Июл-16, 19:28 
>Как можно было так лохануться?

Ты про покупателей этого проприетарного растения, или про то что бэкдоры нужно лучше прятать?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Возможность обхода проверки сертификатов в продуктах Juniper..."  –1 +/
Сообщение от Аноним (??) on 15-Июл-16, 23:17 
А что про Микротик скажете? Достойная штука??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Mail on 16-Июл-16, 12:05 
Переусложненная фигня
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Аноним (??) on 17-Июл-16, 16:16 
> Переусложненная фигня

да не, оно не сложнее какого-нить асуса или длинка из SOHO -коробок, просто там залочено все в дым а в тиках - оставили "крутилок".
если надо больше - для части тиков есть и альтернативный фирмвер(на базе openwrt, ЕМНИП), но это своди смысл покупки тиков к нулю, тк есть платформы "из коробки" более подходящие для такой трансплантации, в тч из числа SOHO-франкенштейнов.


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Возможность обхода проверки сертификатов в продуктах Juniper..."  +/
Сообщение от Аноним (??) on 17-Июл-16, 16:14 
процы жидкие и памяти мало. но если вам не нужно больше чем тамм поддерживается - то вполне. управляемая и неубиваемая штука.
фирмвер жидкий, тк кроме ядра и нетфильтра, загрузчика - там от линукса мало что осталось. но соотв и поверхность атаки - поменьше.
в общем - на любителя. но если хотите - попробуйте, может понравится. у нас многие даже домой ставят.
но проца - реально мало.(можено конечно младших 1009 и 1016)CCR модели взять, но это совсем Другой ценник и шумность. а 3011 и дороговат и не так быстр как стоит.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру