The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от opennews (??) on 10-Ноя-16, 22:39 
Опубликован (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...) корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...), среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 (https://security-tracker.debian.org/tracker/CVE-2016-7054) присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.


URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...
Новость: http://www.opennet.dev/opennews/art.shtml?num=45472

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –9 +/
Сообщение от Аноним (??) on 10-Ноя-16, 22:39 
Криптомакаки из OpenSSL не исправились даже после доната их крупными конторами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –3 +/
Сообщение от Аноним (??) on 11-Ноя-16, 00:39 
Так, блин, понаделали аудита а макаки еще кода написать успели. И опять с багами. Да, это вам не DJB...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +1 +/
Сообщение от Аноним (??) on 11-Ноя-16, 02:05 
> https://www.peereboom.us/assl/assl/html/openssl.html поколение биберов минусует.


The certificate expired on 10/23/2016 01:51 AM.

HTTPS FAIL.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +2 +/
Сообщение от Аноним (??) on 10-Ноя-16, 22:49 
Как nginx c libressl собрать или не надо этого делать чтобы вместо чудес страны дыр использовать что-то нормальное да к тому же и свободное?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +1 +/
Сообщение от Онанон on 10-Ноя-16, 23:11 
https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=nginx...

Примерно вот так.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –2 +/
Сообщение от Аноним (??) on 10-Ноя-16, 23:15 
Мыши плакали кололись, но продолжали OpenSSL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Аноним (??) on 10-Ноя-16, 23:21 
Ппц, а просто взять эталонную реализацию религия не позволяет, ага
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Онанон on 10-Ноя-16, 23:23 
> Ппц, а просто взять эталонную реализацию религия не позволяет, ага

Вот да. Из nacl, libsodium или, банально, libressl можно было тупо скопипастить и не выпендриваться.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –1 +/
Сообщение от Аноним (??) on 11-Ноя-16, 00:40 
> Ппц, а просто взять эталонную реализацию религия не позволяет, ага

Хочется же ощутить себя круче DJB. Ну вот и ощутили. В дыростроении они намного круче.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Аноним (??) on 10-Ноя-16, 23:23 
% wget -qO- https://cr.yp.to/streamciphers/timings/estreambench/submissi... | wc -l
114
Серьёзно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Аноним (??) on 11-Ноя-16, 00:46 
> 114
> Серьёзно?

Это DJB, чувак! У меня 25519 + poly1305 + salsa20 из tweetnacl'а уместились в ТРИ КИЛОБАЙТА кода Cortex M. И я теперь на тощем микроконтроллере и то с публичным крипто. Ну что, openssl, крипто то надо было делать вот так...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Crazy Alex (ok) on 10-Ноя-16, 23:44 
Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка с изменившимся API, которой полугода нет. Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –1 +/
Сообщение от Аноним (??) on 11-Ноя-16, 00:49 
> Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка
> с изменившимся API, которой полугода нет. Не уверен, что ей вообще
> хоть какой-то серьйзный софт пользуется.

Тем кто openssl пишет лучше на завалинке сидеть. Нет, рассаду выращивать я им ссыкую предлагать - от мутантов заманаешься отмахиваться потом при их отношении к делу.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от anonymous (??) on 11-Ноя-16, 09:38 
>Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.

Еще не успели портировать

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Аноним (??) on 11-Ноя-16, 12:33 
> Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305"

КАК?! Как они умудрились ошибку там сделать...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +2 +/
Сообщение от Аноним (??) on 11-Ноя-16, 16:35 
Я смотрю, в комментах собрались всемирно признанные программеры-криптографы, не совершающие ошибок. Я прям аж смутился в такой компании...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –1 +/
Сообщение от Аноним (??) on 11-Ноя-16, 18:43 
Знаешь, есть такая хорошая поговорка: не умеешь - не берись. Знаешь, я могу и не быть экспертом проектирования автомобилей чтобы быть недовольным результатом краштестов некоторых китайцев и обходить такие продукты стороной.

Ну так вот: результаты краштестов openssl - неудовлетворительные. Более того - посадить vuln в трех строках кода, который годами у людей работал без приключений - это вообще EPIC FAIL. Особенно в штуке которая априори ворочает внешние данные из сети.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  –1 +/
Сообщение от Фкук on 12-Ноя-16, 14:30 
> vuln в трех строках кода, который годами у людей работал без
> приключений - это вообще EPIC FAIL. Особенно в штуке которая априори
> ворочает внешние данные из сети.

Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 03:15 
> Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.

Там на всю либу один комментарий. И он такой что модераторы его снесли. Надеюсь знание этого факта дает исчерпывающее представление о качестве либы, ее API и проч.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру