The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от opennews on 28-Апр-17, 11:02 
В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена (http://seclists.org/oss-sec/2017/q2/145) уязвимость (CVE-2017-8301 (https://security-tracker.debian.org/tracker/CVE-2017-8301)), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx (https://trac.nginx.org/nginx/ticket/1257) и IRC-сервер InspIRCd (https://github.com/inspircd/inspircd/blob/5366dd2abd8fdeecf4...). Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

Проблема проявляется начиная с выпуска  LibreSSL (http://www.libressl.org/) 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится (https://github.com/libressl-portable/portable/issues/307#iss...) в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result().
Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и клиентское ПО, проверяющее сервер по серверному сертификату.

URL: http://seclists.org/oss-sec/2017/q2/145
Новость: http://www.opennet.dev/opennews/art.shtml?num=46468

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –18 +/
Сообщение от Аноним (??) on 28-Апр-17, 11:13 
вот читаешь такое и думаешь, что лучше: когда твой сервер вскроют через очередную дырень в очедном *ssl и сольют всю инфу к чертовой бабушке, или когда в случае отсутствие оного, хакер вася перехватит пароль через открытый вайфай у какого-нибудь пользователя.
в принципе, выбор очевиден (из 2 зол), если бы не гугл со своей идиотской политикой навязывания https. то бишь выбора-то по сути уже и нет :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +4 +/
Сообщение от Онанимус on 28-Апр-17, 11:22 
> то бишь выбора-то по сути уже и нет :)

Знаете, я все таки рад за пользователя Петю, потому как дырки в хSSL достаточно редки, а вот публичный вайфай вокруг нас. Так же не стоит забывать, что когда уважаемый Аноним зайдет на свой уютненький серверок через публичный вайфай, то админку у него и угонят (

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от Аноним (??) on 28-Апр-17, 11:27 
их чуть ли не каждый месяц находят. редки, да :)
ну а нормальный админ свою сетку через впн админит.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 12:58 
А в VPN, в отличие от SSL, дыр не находят? Даже если это какой-нибудь OpenVPN, использующий ту же самую библиотеку?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от cmp (ok) on 28-Апр-17, 14:32 
через ssh вожно ВПНится, он в отличии от ssl пока держится
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 11:39 
Ничего не угонят. Изучаем принцип работы SSH.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от Онанимус on 28-Апр-17, 12:09 
> Ничего не угонят. Изучаем принцип работы SSH.

Вы об чем вообще? Я писал Анониму про админку форума ОпенНета, который Вы втыкаете.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +1 +/
Сообщение от Аноним (??) on 28-Апр-17, 12:52 
А чего у них тут с админкой? Альт Линукс потёк?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +1 +/
Сообщение от Аноним (??) on 28-Апр-17, 13:44 
> А чего у них тут с админкой? Альт Линукс потёк?

А причем тут Альт? Опеннет уже вдруг на пингвина перевели?


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 13:51 
> Опеннет уже вдруг на пингвина перевели?

С убунты?


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +4 +/
Сообщение от Аноним (??) on 28-Апр-17, 15:55 
>> Опеннет уже вдруг на пингвина перевели?
> С убунты?

Приготовьте огнетушитель, присядьте, дышите глубоко и ровно ... нет, не с убунты. Еще годика полтора назад это была фря.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –2 +/
Сообщение от Аноним (??) on 28-Апр-17, 16:39 
А, да. Во Фре Сифилизиса нет, поэтому Фря может и полтора года стоять.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +3 +/
Сообщение от Аноним (??) on 28-Апр-17, 21:30 
> А, да. Во Фре Сифилизиса нет, поэтому Фря может и полтора года
> стоять.

Дышите глубуко, воспользуйтесь огнетушителем и попытайтесь более связно донести вашу мысль. Я верю в вас!


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

16. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от Sw00p aka Jerom on 28-Апр-17, 14:38 
Тунель ссх пробросил и подключил сокс в браузере
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +5 +/
Сообщение от тоже Аноним email(ok) on 28-Апр-17, 12:08 
Читайте внимательнее перед тем, как думать.
Эта "дырень" приводит только к тому, что сертификат не проверяется.
Так что защищенный SSL сайт при эксплуатации "дырени" просто-напросто ничем не отличается от не защищенного SSL сайта, а этот вариант вас почему-то устраивает.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от камикадзе on 29-Апр-17, 10:48 
этого мало? а ведь "проект" только-только начался!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от б.б. on 29-Апр-17, 14:42 
> этого мало? а ведь "проект" только-только начался!

LibreSSL != LibreSSL portable

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от пох on 29-Апр-17, 19:59 
> этого мало? а ведь "проект" только-только начался!

э... проект начался пять лет назад, если мне память не изменяет.
(три если portable версию рассматривать как что-то отдельное, а не как libtoolize запущенный в скопированных в сторонку исходниках. Во всяком случае, у меня есть пакет, собранный летом 2014, и это не версия 0.0)

Вот что за все пять лет не было ни одной серьезной проблемы в форкнутой версии openssl, не унаследованной этим продуктом артели "напрасный труд" - это да, внушаить. (в более новых были, и это как раз нормально - они-то развиваются, а не "выбрасывают ненужное")

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от типс on 01-Май-17, 19:15 
что за... при чем тут механизм проверки сертификата? каким интересно образом эта уязвимость позволяет слить инфу?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +2 +/
Сообщение от пох on 28-Апр-17, 13:36 
> Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

а альпайновцы-то, оказывается, не лохи. И неленивые, в отличие от некоторых.

(впрочем, их нелень им окупится интересом публики)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от б.б. on 29-Апр-17, 14:41 
неудивительно - apline linux, это linux, основанный на культуре OpenBSD, с такими же привычками, понятиями и приоритетами
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  –1 +/
Сообщение от пох on 29-Апр-17, 19:50 
> с такими же привычками, понятиями и приоритетами

было б "с такими же" - нужно было сделать форк форка и насажать в нем своих, уникальных, грабель (не забыв поливать всходы абсолютно всех штатных).
Видимо, все же, что-то отличается, в лучшую сторону.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

21. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от бедный буратино (ok) on 29-Апр-17, 03:12 
оно затрагивает только portable версию, или родную тоже?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от ssh (ok) on 29-Апр-17, 03:20 
В http://www.openbsd.org/errata61.html пока тишина.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от б.б. on 29-Апр-17, 10:25 
я про это и говорю
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от пох on 02-Май-17, 11:49 
> оно затрагивает только portable версию, или родную тоже?

-/* $OpenBSD: x509_vfy.c,v 1.57 2017/01/20 00:37:40 beck Exp $ */
+/* $OpenBSD: x509_vfy.c,v 1.58 2017/01/21 01:07:25 beck Exp $ */

собственно, было бы исключительно странно увидеть в portable хоть что-то, меняющее логику работы, не позаимствованное из первоисточника.

ну а что они там все еще спят, говорит все о том же - не надо это использовать, не надо.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +5 +/
Сообщение от Аноним (??) on 29-Апр-17, 15:42 
Уязвимость в форке сделанном, чтобы избавиться от уязвимостей. Эпично!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +1 +/
Сообщение от SoulMaster (??) on 04-Май-17, 14:32 
жаль тут нет лайков
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-с..."  +/
Сообщение от SoulMaster (??) on 04-Май-17, 14:33 
> жаль тут нет лайков

а нет, есть, затупил

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру