forum.opennet.ru - "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." (18)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
Сообщение от opennews (??) on 07-Ноя-16, 23:45
Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=147849220208015&w=2) корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610 (https://security-tracker.debian.org/tracker/CVE-2016-8610)), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx. Проблема проявляется (https://bugzilla.redhat.com/show_bug.cgi?id=1384743) не только в LibreSSL, но и в OpenSSL и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6 (https://lists.gnupg.org/pipermail/gnutls-devel/2016-November...), а в OpenSSL в сентябрьских выпусках 1.1.0b и 1.0.2j (https://www.openssl.org/) (на момент выхода этих версий об уязвимости не было известно (http://www.openwall.com/lists/oss-security/2016/10/24/3)). Дополнительно можно отметить публикацию предупреждения (https://www.mail-archive.com/openssl-announce%40openssl...) о выходе 10 ноября обновления OpenSSL 1.1.0c, в котором будет устранена порция уязвимостей, одной из проблем присвоен высокий уровень опасности. URL: https://marc.info/?l=openbsd-announce&m=147849220208015&w=2 Новость: http://www.opennet.dev/opennews/art.shtml?num=45442
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., XXX, 23:45 , 07-Ноя-16, (1)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 23:56 , 07-Ноя-16, (2) –1

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 22:20 , 08-Ноя-16, (17) –1

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., бедный буратино, 01:54 , 08-Ноя-16, (3) –1

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 02:16 , 08-Ноя-16, (4) +1
Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 02:20 , 08-Ноя-16, (5) –1

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., бедный буратино, 02:39 , 08-Ноя-16, (7)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., бедный буратино, 02:39 , 08-Ноя-16, (6) –1

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Меломан1, 10:41 , 08-Ноя-16, (8) –2

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 11:10 , 08-Ноя-16, (9)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Andrey Mitrofanov, 11:34 , 08-Ноя-16, (10) +2

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Куяврег, 14:45 , 08-Ноя-16, (14)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 12:06 , 08-Ноя-16, (11)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 22:28 , 08-Ноя-16, (19)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 12:26 , 08-Ноя-16, (12) +2
Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 12:33 , 08-Ноя-16, (13)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Led, 00:09 , 09-Ноя-16, (20)

Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..., Аноним, 22:23 , 08-Ноя-16, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от XXX (??) on 07-Ноя-16, 23:45

В дырявом OpenSSL устранили проблему не дожидаясь, пока её уровень опасности поднимут до крайнего.
Фиаско: в стабильных релизах и ответвлениях (LibreSSL) особенно стабильные баги.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –1 +/–

Сообщение от Аноним (??) on 07-Ноя-16, 23:56

Похоже пригорает, все они дырка.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –1 +/–

Сообщение от Аноним (??) on 08-Ноя-16, 22:20

Если у вас мегазы кода работающие с данными из сети - ну вы поняли. В этих либах полно легаси и костылей, уйма способов сделать соединение не безопасным "для совместимости" даже не поняв этого и просто дико переусложненные протоколы в количестве полудюжины опций. Как это может на зафэйлить? Нет, раст не поможет если надо релизовать полдюжины навороченных протоколов с дурными опциями на все случаи жизни. Фэйспалм случится даже если написать на питоне. А в случае брейнфака надежда только на то что хакеры сойдут с ума быстрее чем разрабочтики.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –1 +/–

Сообщение от бедный буратино (ok) on 08-Ноя-16, 01:54

балин, опять всю систему компилять :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +1 +/–

Сообщение от Аноним (??) on 08-Ноя-16, 02:16

Ну не зря ж ты бедный буратино ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –1 +/–

Сообщение от Аноним (??) on 08-Ноя-16, 02:20

> балин, опять всю систему компилять :(
DEFAULT_VERSIONS+=ssl=libressl-devel
# grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
PORTVERSION=    2.5.0

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от бедный буратино (ok) on 08-Ноя-16, 02:39

>> балин, опять всю систему компилять :(
> DEFAULT_VERSIONS+=ssl=libressl-devel
> # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
> PORTVERSION= 2.5.0
и чё этот набор букв и цифр означает?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –1 +/–

Сообщение от бедный буратино (ok) on 08-Ноя-16, 02:39

хотя нет, в собранном от 5 ноября это уже есть, собирать не надо:
errata 6.0:
015: RELIABILITY FIX: November 5, 2016   All architectures
Avoid continual processing of an unlimited number of TLS records.
A source code patch exists which remedies this problem.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." –2 +/–

Сообщение от Меломан1 on 08-Ноя-16, 10:41

Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем счастье. Прокачка трафика увеличится на 90% с полным шифрованием.
Ура товарищи!
http://http-ss.com/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Аноним (??) on 08-Ноя-16, 11:10

И что, библиотеки шифрования в нём будут другие?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +2 +/–

Сообщение от Andrey Mitrofanov on 08-Ноя-16, 11:34

> И что, библиотеки шифрования в нём будут другие?
И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Куяврег on 08-Ноя-16, 14:45

> И центры сертификации!!
куда же без них! в них самая безопасность и гнездицца!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Аноним (??) on 08-Ноя-16, 12:06

Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что это "не то"

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Аноним (??) on 08-Ноя-16, 22:28

> Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что
> это "не то"
Народ догадывается что проприетарный протокол с отчислениями и какими-то специальными программами - не торт? :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +2 +/–

Сообщение от Аноним (??) on 08-Ноя-16, 12:26

> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем
Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол?
И вообще, всё это очень походит на троллинг в стиле архиватора Бабушкина. Сочетание "SS" в названии немецкой компании только усиливает это подозрение.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Аноним (??) on 08-Ноя-16, 12:33

Это жулики.  Они хотят получать отчисления за использование, причём на уровне 1 доллара в месяц на каждой устройство (http://http-ss.com/Pre_Sales_Consumer.html). И никакой это не протокол, а типа совмещения VPN с кэширующим прокси. Требует установки отдельных программ на сервер и на компьютер клиента.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Led (ok) on 09-Ноя-16, 00:09

> Это жулики.
Об этом можно легко догадаться по тому, кто рекламирует их здесь.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..." +/–

Сообщение от Аноним (??) on 08-Ноя-16, 22:23

> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем
> счастье. Прокачка трафика увеличится на 90% с полным шифрованием.
> Ура товарищи!
> http://http-ss.com/
Так, минуточку. А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто? Или ты заранее орешь "ура!" на всякий случай, как истинный комсомолец?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
Сообщение от XXX (??) on 07-Ноя-16, 23:45
В дырявом OpenSSL устранили проблему не дожидаясь, пока её уровень опасности поднимут до крайнего. Фиаско: в стабильных релизах и ответвлениях (LibreSSL) особенно стабильные баги.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–1 +/–
	Сообщение от Аноним (??) on 07-Ноя-16, 23:56
	Похоже пригорает, все они дырка.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	17. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–1 +/–
	Сообщение от Аноним (??) on 08-Ноя-16, 22:20
	Если у вас мегазы кода работающие с данными из сети - ну вы поняли. В этих либах полно легаси и костылей, уйма способов сделать соединение не безопасным "для совместимости" даже не поняв этого и просто дико переусложненные протоколы в количестве полудюжины опций. Как это может на зафэйлить? Нет, раст не поможет если надо релизовать полдюжины навороченных протоколов с дурными опциями на все случаи жизни. Фэйспалм случится даже если написать на питоне. А в случае брейнфака надежда только на то что хакеры сойдут с ума быстрее чем разрабочтики.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–1 +/–
Сообщение от бедный буратино (ok) on 08-Ноя-16, 01:54
балин, опять всю систему компилять :(
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+1 +/–
	Сообщение от Аноним (??) on 08-Ноя-16, 02:16
	Ну не зря ж ты бедный буратино ;)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–1 +/–
	Сообщение от Аноним (??) on 08-Ноя-16, 02:20
	> балин, опять всю систему компилять :( DEFAULT_VERSIONS+=ssl=libressl-devel # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile PORTVERSION= 2.5.0
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от бедный буратино (ok) on 08-Ноя-16, 02:39
	>> балин, опять всю систему компилять :( > DEFAULT_VERSIONS+=ssl=libressl-devel > # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile > PORTVERSION= 2.5.0 и чё этот набор букв и цифр означает?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	6. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–1 +/–
	Сообщение от бедный буратино (ok) on 08-Ноя-16, 02:39
	хотя нет, в собранном от 5 ноября это уже есть, собирать не надо: errata 6.0: 015: RELIABILITY FIX: November 5, 2016 All architectures Avoid continual processing of an unlimited number of TLS records. A source code patch exists which remedies this problem.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

8. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	–2 +/–
Сообщение от Меломан1 on 08-Ноя-16, 10:41
Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем счастье. Прокачка трафика увеличится на 90% с полным шифрованием. Ура товарищи! http://http-ss.com/
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Аноним (??) on 08-Ноя-16, 11:10
	И что, библиотеки шифрования в нём будут другие?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+2 +/–
	Сообщение от Andrey Mitrofanov on 08-Ноя-16, 11:34
	> И что, библиотеки шифрования в нём будут другие? И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	14. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Куяврег on 08-Ноя-16, 14:45
	> И центры сертификации!! куда же без них! в них самая безопасность и гнездицца!
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	11. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Аноним (??) on 08-Ноя-16, 12:06
	Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что это "не то"
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	19. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Аноним (??) on 08-Ноя-16, 22:28
	> Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что > это "не то" Народ догадывается что проприетарный протокол с отчислениями и какими-то специальными программами - не торт? :)
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	12. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+2 +/–
	Сообщение от Аноним (??) on 08-Ноя-16, 12:26
	> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол? И вообще, всё это очень походит на троллинг в стиле архиватора Бабушкина. Сочетание "SS" в названии немецкой компании только усиливает это подозрение.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	13. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Аноним (??) on 08-Ноя-16, 12:33
	Это жулики. Они хотят получать отчисления за использование, причём на уровне 1 доллара в месяц на каждой устройство (http://http-ss.com/Pre_Sales_Consumer.html). И никакой это не протокол, а типа совмещения VPN с кэширующим прокси. Требует установки отдельных программ на сервер и на компьютер клиента.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	20. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Led (ok) on 09-Ноя-16, 00:09
	> Это жулики. Об этом можно легко догадаться по тому, кто рекламирует их здесь.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением..."	+/–
	Сообщение от Аноним (??) on 08-Ноя-16, 22:23
	> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем > счастье. Прокачка трафика увеличится на 90% с полным шифрованием. > Ура товарищи! > http://http-ss.com/ Так, минуточку. А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто? Или ты заранее орешь "ура!" на всякий случай, как истинный комсомолец?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору