форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL с устранением 14 уязвимостей"	+/–
Сообщение от opennews (ok) on 22-Сен-16, 20:40
Доступны (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...) корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i (https://www.openssl.org/), в которых отмечено 14 уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...), одной из них (CVE-2016-6304) присвоен высокий уровень опасности. Уязвимость CVE-2016-6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти. Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе  согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией "no-ocsp". Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках. В LibreSSL проблема проявляется (http://marc.info/?l=libressl&m=147455252017113&w=2) только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд. URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Sept... Новость: http://www.opennet.dev/opennews/art.shtml?num=45195
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление OpenSSL с устранением 14 уязвимостей"	–4 +/–
Сообщение от Michael Shigorin (ok) on 22-Сен-16, 20:40
http://packages.altlinux.org/openssl10
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обновление OpenSSL с устранением 14 уязвимостей"	+3 +/–
	Сообщение от Аноним (??) on 22-Сен-16, 21:22
	Возьми с полки пирожок.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от vantoo (ok) on 22-Сен-16, 21:48
	Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты вместе с ключами автоматически отправляются куда надо.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	21. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от Michael Shigorin (ok) on 23-Сен-16, 23:57
	> Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты > вместе с ключами автоматически отправляются куда надо. О, а давайте Вы её в исходниках (или того почётней -- бинарниках) найдёте и всей правдою припечатаете нас со злокозненными коллегами к стенке?  Ну или разглядывая tcpdump уж на самый крайняк.  Заодно за спеца сойдёте, а не гадалку на кофейной гуще.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	3. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от Ilya Indigo (ok) on 22-Сен-16, 21:36
	А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0? Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от тигар (ok) on 22-Сен-16, 22:04
	наверное это сложнее нежели поправить 1-2 байта в файлике по которому миша построит свежую версию openssl и напишет комментом ссылку на Нужный Пакет для АрхиНужного дистрибутива.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Обновление OpenSSL с устранением 14 уязвимостей"	+7 +/–
	Сообщение от аноним сегодня on 22-Сен-16, 22:41
	Ну вот, опять наехали на Михаила. Михаил, например, как модератор-информатор очень хорош. Всегда проверяет ip подозрительных авторов перед их удалением и отсылает инфу куда нужно по мере необходимости. Просто немного не совсем своим делом он вдогонку ещё занимается. Пакеты какие-то. Не нужно распыляться, Михаил. Я считаю, каждый должен быть на своём месте.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от Кулак on 23-Сен-16, 05:42
	Мы еще потерпим, но потом в овощной отдел переместим Михаила.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	16. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от vantoo (ok) on 23-Сен-16, 13:45
	Да он вообще очень трудолюбивый и увлеченный своим делом человек. Не раз бывало перейду я случайно по какой-то ссылке, или через Гугл на любой новостной сайт, который я в первый раз вижу, и сразу под статьей в комментах попадается знакомый ник со знакомой фоткой, естественно втирающий про внешних и внутренних врагов и мудрый курс непорочного правительства во главе с Самим. А сколько мне на Ютюбе в комментах под видео попадался данный персонаж, и не счесть. И главно, все угрожает всем, согражданам 37-м годом, гражданам других стран оккупацией, с последующим вешанием на столбах. Судя по всему очень грозный в жизни человек, наверняка гора мышц и меткий пристрелянный глаз. Вот только те, кто 37-го года хотят, думают, что с наганом будут именно они, а ведь может оказаться так, что наган окажется у их затылка. История говорит, что ни один нарком внутренних дел СССР свой смертью не умер.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	18. "Обновление OpenSSL с устранением 14 уязвимостей"	–4 +/–
	Сообщение от Michael Shigorin (ok) on 23-Сен-16, 23:49
	> Да он вообще очень трудолюбивый и увлеченный своим делом человек. > Не раз бывало перейду я случайно Да Вы, получается, очень трудолюбивый и увлеченный своим делом человек -- причём в Вашем деле явно тоже попадаются куски вроде "пакет/исошка собирается, надо проверить, а переключаться на вон ту задачку сейчас голова ещё/уже не варит". :) Помнится, когда-то молодняк вроде меня примерно так же изумлялся обилию рассказов Бутенко про CommuniGate и не только в f.r.l -- а он между сборками так развлекался (по крайней мере с его же слов)... > Судя по всему очень грозный в жизни человек, наверняка гора мышц > и меткий пристрелянный глаз. Не, не гора.  И очкарик.  Но тем, кто хотел проверить, это до сих пор не помогало. PS: ссылку привёл в т.ч. ради списка CVE, а спасибо за оперативную сборку -- glebfm@. PPS: "гражданам других стран оккупацией" -- что-то не припоминаю я такого.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	23. "Обновление OpenSSL с устранением 14 уязвимостей"	–6 +/–
	Сообщение от Аноним (??) on 24-Сен-16, 02:43
	Дорогой ребенок, когда ты хочешь кого-то опорочить, постарайся после каждого своего высера писать ссылки на доказательства, иначе самому последнему дурачку в этих ваших Интернетах станет понятно, что ты врунишка с маленьким-маленьким чувством собственного достоинства.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Обновление OpenSSL с устранением 14 уязвимостей"	–3 +/–
	Сообщение от Аноним (??) on 24-Сен-16, 02:44
	Написано к http://www.opennet.dev/openforum/vsluhforumID3/109194.html#16
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	30. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от тигар (ok) on 24-Сен-16, 09:08
	> Написано к http://www.opennet.dev/openforum/vsluhforumID3/109194.html#16 в т.н. хохлосрачах поищи, я мишку в комментах ютупа видал тоже, например.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	33. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Crazy Alex (??) on 25-Сен-16, 11:02
	Ты всерьёз предлагаешь эту его хрень собачью коллекционировать?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	9. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от iPony on 23-Сен-16, 06:19
	> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0? Ну позерство с цифрами - это конечно одно... Ну вот в 1.1 в OpenSSL наменяли API, поэтому да - не всё так просто.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	13. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от Аноним (??) on 23-Сен-16, 11:53
	Вот поэтому nixos / nixpkgs рулит.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	35. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Michael Shigorin (ok) on 26-Сен-16, 19:23
	> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0? Не пришлось долго ждать http://www.opennet.dev/opennews/art.shtml?num=45215 > Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё? Майнтейнер говорит, что уехало и ABI, и API, и с ней не собирался даже OpenSSH. "Рано", мол.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Обновление OpenSSL с устранением 14 уязвимостей"	+2 +/–
	Сообщение от Нет on 23-Сен-16, 09:44
	МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг, ща мы с потсонами с 7Б затралим шыгорина гггг". Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте остальную аудиторию.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	11. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от Клыкастый (ok) on 23-Сен-16, 11:00
	Горящее школоло - неотъемлемая часть опеннета и источник хорошего настроения. Я вот не понимаю юмора Митрофанова и не согласен с некоторыми пунктиками Шигорина, но как от них полыхает у детей - бесценно. Так что не стОит школоту вразумлять, да и бесполезно это...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	19. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 23-Сен-16, 23:51
	> Так что не стОит школоту вразумлять, да и бесполезно это... Ну почему, меня же разные люди по разным поводам успешно вразумляли -- помните, может, пикировки с BSD-шниками а-ля never@ лет десять тому?  А здесь нашлись толковые и спокойные, которых было за что уважать и о чём послушать. Что до несогласия -- так это ж нормально :)  Разные люди, разные взгляды, тараканы тоже...
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	25. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Аноним (??) on 24-Сен-16, 02:48
	Нормально - это когда мнение обоснованно и оппонент готов обосновывать его, а не переходить на личности. Школьные же вбросы из серии "играй гормон - завтра в баню" смысла не имеют.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	27. "Обновление OpenSSL с устранением 14 уязвимостей"	+2 +/–
	Сообщение от Аноним (??) on 24-Сен-16, 03:09
	Знаешь сколько вас таких, которые не понимают? Имя вам - легион. Но вместо того, чтобы спросить, вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете. А так же глубокомысленные выводы из этого. И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает. Считай это подарком, коко.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	34. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Клыкастый (ok) on 26-Сен-16, 10:21
	> Знаешь сколько вас таких, которые не понимают? Шуток Митрофанова? Думаю, хватает. > Но вместо того, чтобы спросить, Объяснить шутку? Даже если её объяснят, она перестаёт быть шуткой. > вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете. А ты - страдай. > И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает. Походу ещё и на смысле ударение надо делать - не все дегенераты понимают, о чём речь. > Считай это подарком Оставь себе, у тебя и так немного.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	12. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от Наркоман on 23-Сен-16, 11:52
	Особенно в комментариях под новостями, связанными с политикой или феминистками заметно какой сайт хороший. Ещё и модераторы сами огонька поддают.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от тигар (ok) on 23-Сен-16, 11:54
	> МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг, > ща мы с потсонами с 7Б затралим шыгорина гггг". > Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде > как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте > остальную аудиторию. видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl в пределах версии и правда проще, нежели сменить версию openssl. а для "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	20. "Обновление OpenSSL с устранением 14 уязвимостей"	–2 +/–
	Сообщение от Michael Shigorin (ok) on 23-Сен-16, 23:53
	> видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl > в пределах версии и правда проще, нежели сменить версию openssl. а для > "собрать пакет со следующей букавкой" и правда достаточно элементарных действий. Есть ещё моментик насчёт узнать и подготовиться.  Впрочем, фряшный майнтейнер тоже наверняка знал заранее.  Вы -- вряд ли.  А я слышал голосом, но соблюдал эмбарго. :) PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  Можете изрядно удивиться по крайней мере по одному случаю.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	28. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от Аноним (??) on 24-Сен-16, 03:16
	Обычно детям категорически не нравится, что говорит Шигорин. Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри. Но. Возразить ему - это во-первых моветон, а главное это так страшно, что не один чемпион ночной вазы на это, конечно, не подпишется. Поэтому только минусы. Для друзей карапуза количество минусов гораздо важней всего остального на свете.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	32. "Обновление OpenSSL с устранением 14 уязвимостей"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 24-Сен-16, 12:40
	> Обычно детям категорически не нравится, что говорит Шигорин. Значит, надо как-то применяться и к детям, контакт-то и впрямь скорее утерян. > Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри. Не, "тигар" явно не карапуз, он оппонент :)  Но самонадеянный, не в теме, потому и не знает как минимум про не столь давнее изменение форматирование даже старых веток openssl, доставившее немало головняка на ровном месте тем, у кого развесистые патчсеты... И чтоб два раза не вставать, отвечу ему сразу на #31, раз сам неспособен спросить altlinux openssl patches у ближайшего поисковива: http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/pat...
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	31. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от тигар (ok) on 24-Сен-16, 09:15
	> PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.   > Можете изрядно удивиться по крайней мере по одному случаю. svn diff -c414534, примеру. по ports@head. в вашем ненужном альте, насколько я помнить, rpm. нужно дофига знаний чтобы в spec файле поменять циферку и пересобраться?:-) или у вас есть рукожо^Wспециалисты, которые падчат опенссл под альт?;)
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

7. "Обновление OpenSSL с устранением 14 уязвимостей"	–2 +/–
Сообщение от Аноним (??) on 23-Сен-16, 01:58
Мыши плакали кололись, но продолжали OpenSSL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Обновление OpenSSL с устранением 14 уязвимостей"	+1 +/–
	Сообщение от YetAnotherOnanym (ok) on 23-Сен-16, 22:20
	Можно ещё погрызть ободранную до блеска косточку LibreSSL.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	26. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Аноним (??) on 24-Сен-16, 02:55
	> Можно ещё погрызть ободранную до блеска косточку LibreSSL. Не понял, а где же комментарии инфантов, что дескать комментатор должен заткнуться и сделать форк openssl? Осень убила опеннет. Даешь осенние каникулы!
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	29. "Обновление OpenSSL с устранением 14 уязвимостей"	+/–
	Сообщение от Аноним (??) on 24-Сен-16, 04:50
	Мсье имеет конкретные претензии, основанные на опыте, или так, слышал звон?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема