форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+/–
Сообщение от opennews (??) on 16-Окт-14, 14:43
Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 1.0.1j (http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...), 1.0.0o (http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...) и 0.9.8zc (http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...) в которых устранено 3 уязвимости (https://www.openssl.org/news/secadv_20141015.txt), а также представлен обходной путь для защиты от проявления уязвимости (http://www.opennet.me/opennews/art.shtml?num=40833) в SSL 3.0.  В частности, добавлен механизм TLS_FALLBACK_SCSV (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00), мешающий понижению версии протокола защищённого соединения при осуществлении атаки на системы с поддержкой SSLv3. В выпуске OpenSSL 1.0.1j устранена выявленная разработчиками LibreSSL уязвимость CVE-2014-3513, вызванная ошибкой в коде разбора сообщений транспортного протокола DTLS (http://en.wikipedia.org/wiki/Datagram_Transport_Layer_Security)-SRTP (http://en.wikipedia.org/wiki/Secure_Real-time_Transport_Prot...). Обработка специально оформленных handshake-сообщений, может привести к утечке содержимого памяти процесса из-за сбоя при освобождении до 64 Кб памяти. Проблема затрагивает серверные системы с SSL/TLS и DTLS, независимо от использования или настройки SRTP. Системы собранные с опцией OPENSSL_NO_SRTP  не подвержены уязвимости. Кроме того, устранены уязвимости CVE-2014-3567 и CVE-2014-3568, которым присвоен умеренный и низкий уровень опасности. Уязвимость CVE-2014-3567 напоминает проблему с SRTP, но вызвана проблемой очистки памяти при обработке некорректных session ticket. Проблема CVE-2014-3568 связана с тем, что при сборке с опцией "no-ssl3",  OpenSSL продолжает принимать и обрабатывать запросы на соединение SSL 3.0. Одновременно опубликован (http://comments.gmane.org/gmane.comp.encryption.openssl.anno...) анонс грядущего прекращения поддержки ветки OpenSSL 0.9.8. Пользователям рекомендуется перейти к использованию веток 1.0.1 или 1.0.0. Выпуск обновлений для ветки 0.9.8 будет прекращён 31 декабря 2015 года, т.е. через 14 месяцев. URL: https://www.openssl.org/news/ Новость: http://www.opennet.me/opennews/art.shtml?num=40846
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+2 +/–
Сообщение от Аноним (??) on 16-Окт-14, 14:43
Понапихали гуано в либу, сделали супернавороченные протоколы с кучей легаси и еще удивляются - о, дыры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+1 +/–
	Сообщение от edwin3d (ok) on 16-Окт-14, 15:17
	Я бы добавил слегка .... Там сидят люди не дурные, совсем не дурные. Но код запутан и т.д. Такое впечатление, что это сделано сознательно, чтобы усложнить code analysis. А чтобы удовлетворить публику, периодически ей "бросаю кость" в виде якобы "открытых" уязвимостей
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+2 +/–
	Сообщение от Психиатр (ok) on 16-Окт-14, 15:43
	Гы. Ваш пост навёл на мысль о теории мега-заговора. Создаём продукт призванный отвечать именно за безопасность. Делаем мегазапутанный код, с встроенными by design дырками (специально сделанными отверстиями). Продаём дырки заинтересованным лицам/службам. Изредка закрываем некоторые дырки, чтоб сообщество не сильно материлось. ... Profit.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+/–
	Сообщение от twilight (ok) on 16-Окт-14, 16:23
	тащемта есть пара конторок, которые сделали именно так, как вы описали - только у них фокус более общий, без специализации на крипте. Хотя и в индустрии крипты такой бизнес-моделью активно пользуются.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+/–
	Сообщение от Аноним (??) on 16-Окт-14, 18:33
	По вам обоим психиатр плачет.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя..."	+/–
	Сообщение от Ононим on 16-Окт-14, 19:26
	а вас, товарищ лейтенант, дома жена ждет !
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема