В ходе проведённого компанией Qualys аудита (https://www.opennet.me/opennews/art.shtml?num=43090) SMTP-сервера OpenSMTPD, всплыли (http://seclists.org/oss-sec/2015/q4/87) две новые узявмости в развиваемой проектом OpеnBSD библиотеке LibreSSL, функции которой используются в OpenSMTPD. Разработчики OpenBSD уже выпустили (http://permalink.gmane.org/gmane.os.openbsd.announce/250) обновления LibreSSL 2.0.6, 2.1.8 и 2.2.4 (выпуск 2.3.1 пока не готов), а также патчи для OpenBSD 5.6, 5.7 и 5.8, в которых устранены выявленные проблемы. Уязвимости специфичны для LibreSSL и не проявляются в OpenSSL.
Обе проблемы присутствуют в функции OBJ_obj2txt. Первая уязвимость (CVE-2015-5333) вызвана утечкой памяти, позволяющей совершить DoS-атаку через исчерпание доступной памяти. Вторая уязвимость (CVE-2015-5334) даёт возможность осуществить однобайтовое переполнение буфера в стеке, что потенциально может привести к организации удалённого выполнения кода в системе при обработке специально оформленных сертификатов X.509. Отмечается, что в OpenBSD на системах x86 проблема скорее всего не может быть эксплуатирована, так как переполнение возникает в стеке, для защиты которого в OpenBSD применяются дополнительные меры.
URL: http://seclists.org/oss-sec/2015/q4/87
Новость: http://www.opennet.me/opennews/art.shtml?num=43146
"..стрижка только началась.."©
и ведь форкнули совсем недавно..
Вот тебе, батенька, и "чистка кода".
> Вот тебе, батенька, и "чистка кода".А это сильно зависит от того, кто чистит. В данном случае все вполне закономерно.
Вот если бы анонимы опеннета чистили...
Безопасность за счет фрагментации же.
> Безопасность за счет фрагментации же.Работает так: платформа фрагментирована => никто не хочет под нее разрабатывать, бо гемор => платформа не используется => платформу не взламывают. Успех!
У Тео начнет подгорать...
на OpenBSD уязвимость не работает, как и большинство других, ибо средств активной безопасности - полная коробкаа проблемы портеров Тео не волнуют. ибо есть только одна истинная платформа :)
Опять как с openssl: пилило 3,5 человека за "спасибо", а пол-мира пользовалось, не считая нужным поддержать проект.
Зато в сразу же нашлись экспертные критеги, которые "всегда знали!".
ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
> ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные Д'Артаньяны, все равно лучше знают, как все должно быть.
>> ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
> Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные
> Д'Артаньяны, все равно лучше знают, как все должно быть.Нет, лучше всего знают аналитики с Опеннета.
> Нет, лучше всего знают аналитики с Опеннета.Если бы у Тео был аккаунт на Опеннете...
Можно и без аккаунта
Ну, раз ты точно знаешь, что у Тео нет аккаунта здесь, значит... Ты - Тео! Добро пожаловать, мужик!
Конечно. Нужно просто все изначально написать без уязвимостей (С) Аноним
> Нет, лучше всего знают аналитики с Опеннета.Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
В том плане, что трепаться умеют гораздо лучше, чем писать код :)
А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.
> А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.Что за дискриминация? Почему именно местные линукс-аналитики? Ведь "человек со стороны", прочитав такое может совершенно несправедливо подумать будто остальные местные аналитики (назовем их "местные всё-кроме-линукс-аналитики") им в этом уступают.
> Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
> В том плане, что трепаться умеют гораздо лучше, чем писать код :)в OpenBSD даже актёры пишут драйверы на C :)
но вообще, смешно видеть такую демаогогию, когда новый релиз OpenBSD выходит каждые полгода, а от анонимных аналитиков сложно ожидать хоть какой-то организованности
> Разрабы опенка, особенно Тео,повторяю
>> Опять как с opensslт.е. причем тут Тео со своим супир-пупер-безопасным (ну а как еще может быть, когда сам определяешь значение этого слова) опененком?
> как истинные опеннетчики, все равно лучше знают, как все должно быть.
Быстрофикс.
> Опять как с openssl: пилило 3,5 человека за "спасибо", а пол-мира пользовалось, не
> считая нужным поддержать проект.во-первых, отучайтесь говорить за пол-мира.
Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к чему он приходит. Не думаю, что я один.Во-вторых, а нахрена поддерживать дерьмопроект? Не-е-е-ет, ребята, так не бывает - массовый донейт (и возможность обналичиться по крупному) появляется только у тех, кто _уже_ доказал что он людям нужен. nginx, как пример.
Не можете - просто уходите. Без вас мир не рухнет, еще ни разу не было такого.В третьих, openssl никогда "за спасибо" не пилили. За спасибо был сделат его предок ssleay, но аффтар сдал свой дисер и ему стало не интересно. А openssl пилился на гранты.
> во-первых, отучайтесь говорить за пол-мира.
> Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к
> чему он приходит. Не думаю, что я один....
> А openssl пилился на гранты.Во-во. Хотя использовался на разномастных девайсах и "сурьезным бизнесом". Вон, сколько было ора, когда понадобилось сменить сертификаты.
> Во-вторых, а нахрена поддерживать дерьмопроект?Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.
Просто показательно именно "внезапное" появление "знатоков" (далеко не только на оппеннете) типа "я всегда знал! Я знал, что они криворукие бибизьяны! Я вумный!" после таких "фейлов".
А вот аргументированных "почему этим проектом не стоит пользоваться" или тем более альтернатив или еще чего в том же духе ДО – днем с огнем не сыщешь.
>> Во-вторых, а нахрена поддерживать дерьмопроект?
> Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.это, если кто не понял, был риторический вопрос.
Поддержка (деньгами или патчами) libressl могла бы (уже, пожалуй, надо говорить в прошедшем условном) стать большей, если бы они делом доказали, что они лучше. И только так это работает в мире софтописательства - стулья вперед денег.
А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!
Это "достижение" привлечет массу донейта, патчей и новых восторженных пользователей.> А вот аргументированных "почему этим проектом не стоит пользоваться"
тут, собственно, то же самое - заплатите за анализ, будет анализ.
Мое мнение - что не стоит. Но мне неинтересно никого убеждать (собственно, я крайне заинтересован в том, чтобы побольше людей думали наоборот).
>А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!Ну это если оценивать в стиле белки-истерички. Давай лучше сделаем сумму всех уязвимостей обнаруженных в libressl и openssl со времен форка и посмотрим.
OpenSSL: 5 high, 28 medium, 10 low
Total: 36
LibreSSL 0 high, 15 medium, 7 low
Total: 22После этого есть повод не доверять OpenSSL и не поддерживать его чем-либо тем более.
> А нынешний фейл - к сожалениюсуществует только в твоей голове :)
ну и заодно показывает средний уровень развития среднего опеннет-аналитика :)
> Я вумный!" после таких "фейлов"./скажу за всех/ Нам плевать.
До "таких фейлов" вы нас оскорбляли за то, что мы вас предупреждали.
Теперь вы нас оскорбляете за то, что вы не верили нам прежде.Продолжайте оскорбления.
Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.
> Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.Всё бы ничего, если бы он много думал о себе в соцсетях и не лез в реальный мир.
Но он почему-то считает, что он отличный лидер и исключительно компетентен в информационной безопасности, хотя второе не соответствует действительности и никогда не соответствовало.
Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.
Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время. То же и про LibreSSL.
Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в дефолтном опененке можно использовать для удаленного неавторизированного выполнения кода. Остальное не считается.
> Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в
> дефолтном опененке можно использовать для удаленного неавторизированного выполнения
> кода. Остальное не считается.Ага. Причем, как только админ запускает минимальный набор служб (хотя бы MTA), число дыр значительно увеличивается. Но их уже никто не считает, потому что это невыгодно для репутации.
Мне все равно, что там называют уязвимостями. Я подразумевал обычное значение слова.
> Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние EPIC PWN дыры в opensmtpd.
Так давай по другой методике. В любом случае OpenBSD безопаснее.https://web.nvd.nist.gov/view/vuln/search-results?query=post...
>> Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.
> Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние
> EPIC PWN дыры в opensmtpd.ты уже сломал хоть одну из этих "дыр"? или кто-нибудь сломал?
> Всё бы ничего, если бы он много думал о себе в соцсетях
> и не лез в реальный мир.
> Но он почему-то считает, что он отличный лидер и исключительно компетентен в
> информационной безопасности, хотя второе не соответствует действительности и никогда
> не соответствовало.неужели он к тебе в окно лезет? :)
Нет, детка. Тео отличный лидер и исключительно компетентен. И выпускает успешный нишевой продукт, который у всех на слуху, уже 20 лет. И тебя это бесит. "Баба Яга - против"
> Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.Ей занимался и занимается целый ряд людей (кое-кто из них впоследствии стал коммиттером OpenBSD): Bob Beck, Brent Cook, Doug Hogan, Joel Sing...
> Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать
> мешает тот факт, что какой-то канадец много о себе думает.Вы так говорите, как будто этот канадец не такой же хейтер :)
Они ещё Королёва научат в космос летать :)Когда картина мира маахонька и ууузенькка, тогда кажется, что всё понятно :)