Доступны (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...) корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i (https://www.openssl.org/), в которых отмечено 14 уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...), одной из них (CVE-2016-6304) присвоен высокий уровень опасности. Уязвимость CVE-2016-6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти.
Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией "no-ocsp". Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках.
В LibreSSL проблема проявляется (http://marc.info/?l=libressl&m=147455252017113&w=2) только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд.
URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...
Новость: http://www.opennet.me/opennews/art.shtml?num=45195
http://packages.altlinux.org/openssl10
Возьми с полки пирожок.
Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты вместе с ключами автоматически отправляются куда надо.
> Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты
> вместе с ключами автоматически отправляются куда надо.О, а давайте Вы её в исходниках (или того почётней -- бинарниках) найдёте и всей правдою припечатаете нас со злокозненными коллегами к стенке? Ну или разглядывая tcpdump уж на самый крайняк. Заодно за спеца сойдёте, а не гадалку на кофейной гуще.
А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?
Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?
наверное это сложнее нежели поправить 1-2 байта в файлике по которому миша построит свежую версию openssl и напишет комментом ссылку на Нужный Пакет для АрхиНужного дистрибутива.
Ну вот, опять наехали на Михаила. Михаил, например, как модератор-информатор очень хорош. Всегда проверяет ip подозрительных авторов перед их удалением и отсылает инфу куда нужно по мере необходимости. Просто немного не совсем своим делом он вдогонку ещё занимается. Пакеты какие-то. Не нужно распыляться, Михаил. Я считаю, каждый должен быть на своём месте.
Мы еще потерпим, но потом в овощной отдел переместим Михаила.
Да он вообще очень трудолюбивый и увлеченный своим делом человек. Не раз бывало перейду я случайно по какой-то ссылке, или через Гугл на любой новостной сайт, который я в первый раз вижу, и сразу под статьей в комментах попадается знакомый ник со знакомой фоткой, естественно втирающий про внешних и внутренних врагов и мудрый курс непорочного правительства во главе с Самим. А сколько мне на Ютюбе в комментах под видео попадался данный персонаж, и не счесть. И главно, все угрожает всем, согражданам 37-м годом, гражданам других стран оккупацией, с последующим вешанием на столбах. Судя по всему очень грозный в жизни человек, наверняка гора мышц и меткий пристрелянный глаз. Вот только те, кто 37-го года хотят, думают, что с наганом будут именно они, а ведь может оказаться так, что наган окажется у их затылка. История говорит, что ни один нарком внутренних дел СССР свой смертью не умер.
> Да он вообще очень трудолюбивый и увлеченный своим делом человек.
> Не раз бывало перейду я случайноДа Вы, получается, очень трудолюбивый и увлеченный своим делом человек -- причём в Вашем деле явно тоже попадаются куски вроде "пакет/исошка собирается, надо проверить, а переключаться на вон ту задачку сейчас голова ещё/уже не варит". :)
Помнится, когда-то молодняк вроде меня примерно так же изумлялся обилию рассказов Бутенко про CommuniGate и не только в f.r.l -- а он между сборками так развлекался (по крайней мере с его же слов)...
> Судя по всему очень грозный в жизни человек, наверняка гора мышц
> и меткий пристрелянный глаз.Не, не гора. И очкарик. Но тем, кто хотел проверить, это до сих пор не помогало.
PS: ссылку привёл в т.ч. ради списка CVE, а спасибо за оперативную сборку -- glebfm@.
PPS: "гражданам других стран оккупацией" -- что-то не припоминаю я такого.
Дорогой ребенок, когда ты хочешь кого-то опорочить, постарайся после каждого своего высера писать ссылки на доказательства, иначе самому последнему дурачку в этих ваших Интернетах станет понятно, что ты врунишка с маленьким-маленьким чувством собственного достоинства.
Написано к http://www.opennet.me/openforum/vsluhforumID3/109194.html#16
> Написано к http://www.opennet.me/openforum/vsluhforumID3/109194.html#16в т.н. хохлосрачах поищи, я мишку в комментах ютупа видал тоже, например.
Ты всерьёз предлагаешь эту его хрень собачью коллекционировать?
> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?Ну позерство с цифрами - это конечно одно...
Ну вот в 1.1 в OpenSSL наменяли API, поэтому да - не всё так просто.
Вот поэтому nixos / nixpkgs рулит.
> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?Не пришлось долго ждать http://www.opennet.me/opennews/art.shtml?num=45215
> Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?
Майнтейнер говорит, что уехало и ABI, и API, и с ней не собирался даже OpenSSH.
"Рано", мол.
МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг, ща мы с потсонами с 7Б затралим шыгорина гггг".Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте остальную аудиторию.
Горящее школоло - неотъемлемая часть опеннета и источник хорошего настроения. Я вот не понимаю юмора Митрофанова и не согласен с некоторыми пунктиками Шигорина, но как от них полыхает у детей - бесценно. Так что не стОит школоту вразумлять, да и бесполезно это...
> Так что не стОит школоту вразумлять, да и бесполезно это...Ну почему, меня же разные люди по разным поводам успешно вразумляли -- помните, может, пикировки с BSD-шниками а-ля never@ лет десять тому? А здесь нашлись толковые и спокойные, которых было за что уважать и о чём послушать.
Что до несогласия -- так это ж нормально :) Разные люди, разные взгляды, тараканы тоже...
Нормально - это когда мнение обоснованно и оппонент готов обосновывать его, а не переходить на личности. Школьные же вбросы из серии "играй гормон - завтра в баню" смысла не имеют.
Знаешь сколько вас таких, которые не понимают? Имя вам - легион. Но вместо того, чтобы спросить, вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете. А так же глубокомысленные выводы из этого. И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.Считай это подарком, коко.
> Знаешь сколько вас таких, которые не понимают?Шуток Митрофанова? Думаю, хватает.
> Но вместо того, чтобы спросить,
Объяснить шутку? Даже если её объяснят, она перестаёт быть шуткой.
> вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете.
А ты - страдай.
> И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.
Походу ещё и на смысле ударение надо делать - не все дегенераты понимают, о чём речь.
> Считай это подарком
Оставь себе, у тебя и так немного.
Особенно в комментариях под новостями, связанными с политикой или феминистками заметно какой сайт хороший. Ещё и модераторы сами огонька поддают.
> МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг,
> ща мы с потсонами с 7Б затралим шыгорина гггг".
> Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде
> как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте
> остальную аудиторию.видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl в пределах версии и правда проще, нежели сменить версию openssl. а для "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.
> видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl
> в пределах версии и правда проще, нежели сменить версию openssl. а для
> "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.Есть ещё моментик насчёт узнать и подготовиться. Впрочем, фряшный майнтейнер тоже наверняка знал заранее. Вы -- вряд ли. А я слышал голосом, но соблюдал эмбарго. :)
PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение. Можете изрядно удивиться по крайней мере по одному случаю.
Обычно детям категорически не нравится, что говорит Шигорин. Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри. Но. Возразить ему - это во-первых моветон, а главное это так страшно, что не один чемпион ночной вазы на это, конечно, не подпишется. Поэтому только минусы.Для друзей карапуза количество минусов гораздо важней всего остального на свете.
> Обычно детям категорически не нравится, что говорит Шигорин.Значит, надо как-то применяться и к детям, контакт-то и впрямь скорее утерян.
> Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри.
Не, "тигар" явно не карапуз, он оппонент :) Но самонадеянный, не в теме, потому и не знает как минимум про не столь давнее изменение форматирование даже старых веток openssl, доставившее немало головняка на ровном месте тем, у кого развесистые патчсеты...
И чтоб два раза не вставать, отвечу ему сразу на #31, раз сам неспособен спросить altlinux openssl patches у ближайшего поисковива: http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/pat...
> PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.
> Можете изрядно удивиться по крайней мере по одному случаю.svn diff -c414534, примеру. по ports@head.
в вашем ненужном альте, насколько я помнить, rpm. нужно дофига знаний чтобы в spec файле поменять циферку и пересобраться?:-) или у вас есть рукожо^Wспециалисты, которые падчат опенссл под альт?;)
Мыши плакали кололись, но продолжали OpenSSL
Можно ещё погрызть ободранную до блеска косточку LibreSSL.
> Можно ещё погрызть ободранную до блеска косточку LibreSSL.Не понял, а где же комментарии инфантов, что дескать комментатор должен заткнуться и сделать форк openssl? Осень убила опеннет.
Даешь осенние каникулы!
Мсье имеет конкретные претензии, основанные на опыте, или так, слышал звон?