URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109609
[ Назад ]

Исходное сообщение
"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено opennews , 10-Ноя-16 22:39

Опубликован (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...) корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...), среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 (https://security-tracker.debian.org/tracker/CVE-2016-7054) присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.

URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...
Новость: http://www.opennet.me/opennews/art.shtml?num=45472

Содержание

Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 22:39 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 00:39 , 11-Ноя-16
  - Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 02:05 , 11-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 22:49 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Онанон, 23:11 , 10-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 23:15 , 10-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 23:21 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Онанон, 23:23 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 00:40 , 11-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 23:23 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 00:46 , 11-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Crazy Alex, 23:44 , 10-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 00:49 , 11-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,anonymous, 09:38 , 11-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 12:33 , 11-Ноя-16
Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 16:35 , 11-Ноя-16
- Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 18:43 , 11-Ноя-16
  - Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Фкук, 14:30 , 12-Ноя-16
    - Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа...,Аноним, 03:15 , 15-Ноя-16

Сообщения в этом обсуждении

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 10-Ноя-16 22:39

Криптомакаки из OpenSSL не исправились даже после доната их крупными конторами.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 00:39

Так, блин, понаделали аудита а макаки еще кода написать успели. И опять с багами. Да, это вам не DJB...

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 02:05

> https://www.peereboom.us/assl/assl/html/openssl.html поколение биберов минусует.
The certificate expired on 10/23/2016 01:51 AM. 
HTTPS FAIL.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 10-Ноя-16 22:49

Как nginx c libressl собрать или не надо этого делать чтобы вместо чудес страны дыр использовать что-то нормальное да к тому же и свободное?

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Онанон , 10-Ноя-16 23:11

https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=nginx...
Примерно вот так.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 10-Ноя-16 23:15

Мыши плакали кололись, но продолжали OpenSSL

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 10-Ноя-16 23:21

Ппц, а просто взять эталонную реализацию религия не позволяет, ага

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Онанон , 10-Ноя-16 23:23

> Ппц, а просто взять эталонную реализацию религия не позволяет, ага
Вот да. Из nacl, libsodium или, банально, libressl можно было тупо скопипастить и не выпендриваться.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 00:40

> Ппц, а просто взять эталонную реализацию религия не позволяет, ага
Хочется же ощутить себя круче DJB. Ну вот и ощутили. В дыростроении они намного круче.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 10-Ноя-16 23:23

% wget -qO- https://cr.yp.to/streamciphers/timings/estreambench/submissi... | wc -l
114
Серьёзно?

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 00:46

> 114
> Серьёзно?
Это DJB, чувак! У меня 25519 + poly1305 + salsa20 из tweetnacl'а уместились в ТРИ КИЛОБАЙТА кода Cortex M. И я теперь на тощем микроконтроллере и то с публичным крипто. Ну что, openssl, крипто то надо было делать вот так...

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Crazy Alex , 10-Ноя-16 23:44

Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка с изменившимся API, которой полугода нет. Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 00:49

> Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка
> с изменившимся API, которой полугода нет. Не уверен, что ей вообще
> хоть какой-то серьйзный софт пользуется.
Тем кто openssl пишет лучше на завалинке сидеть. Нет, рассаду выращивать я им ссыкую предлагать - от мутантов заманаешься отмахиваться потом при их отношении к делу.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено anonymous , 11-Ноя-16 09:38

>Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.
Еще не успели портировать

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 12:33

> Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305"
КАК?! Как они умудрились ошибку там сделать...

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 16:35

Я смотрю, в комментах собрались всемирно признанные программеры-криптографы, не совершающие ошибок. Я прям аж смутился в такой компании...

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 11-Ноя-16 18:43

Знаешь, есть такая хорошая поговорка: не умеешь - не берись. Знаешь, я могу и не быть экспертом проектирования автомобилей чтобы быть недовольным результатом краштестов некоторых китайцев и обходить такие продукты стороной.
Ну так вот: результаты краштестов openssl - неудовлетворительные. Более того - посадить vuln в трех строках кода, который годами у людей работал без приключений - это вообще EPIC FAIL. Особенно в штуке которая априори ворочает внешние данные из сети.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Фкук , 12-Ноя-16 14:30

> vuln в трех строках кода, который годами у людей работал без
> приключений - это вообще EPIC FAIL. Особенно в штуке которая априори
> ворочает внешние данные из сети.
Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."
Отправлено Аноним , 15-Ноя-16 03:15

> Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.
Там на всю либу один комментарий. И он такой что модераторы его снесли. Надеюсь знание этого факта дает исчерпывающее представление о качестве либы, ее API и проч.