LINUX.ORG.RU

CVE-2021-3712 и CVE-2021-3711

 ,


0

2

Тут две новые дыры в openssl нашли, теперь пытаюсь понять сколь вообще это страшно. Уже пора с горяещй жопой обновлять все хосты или можно расслабиться и спокойно сделать это за неделю? В основном это nginx, торчащий в инернет.


Учти, что это тебе случайный человек в интернете сказал. Возможно, не стоит основывать свою защиту на словах случайных людей на форумах.

CVE-2021-3711 - тут просто. Судя по https://www.openssl.org/news/secadv/20210824.txt, уязвимы только SM2 примитивы. SM2 - это китайские шифры (https://www.openssl.org/docs/manmaster/man7/SM2.html). По-моему, они в openssl из типового дистрибутива просто не включены, так что опасности нет. Если у тебя включены, можно в конфиге выключить (я не уверен, кстати, что для них есть TLS cipher suites) и это тоже проблему должно решить.

С CVE-2021-3712 сложнее. Опять же, судя по https://www.openssl.org/news/secadv/20210824.txt, ASN.1 строки напрямую не используются, и только если приложение собирает вручную строку (для использования потом в каком-то примитиве, например) то это может быть проблемой. Мне кажется, nginx так не делает, но в исходники смотреть лень. Такое может делать приложение, которое сам делает более низкоуровневую криптографию, чем nginx, который просто TLS зовёт. Второе подозрительное место - «The same thing can also occur during name constraints processing of certificates (for example if a certificate has been directly constructed by the application instead of loading it via the OpenSSL parsing functions». Я думаю, nginx не парсит сертификаты напрямую, а загружает их через соответствующие функции OpenSSL. Но, возможно что-то подобное происходит, когда используются клиентские сертификаты и он во внутренние переменные записывает аттрибуты из сертификатов. Поэтому, если у тебя где-то используется mTLS, возможно, стоит обновить поскорее. А если не используется, вероятно, это не проблема.

ivlad ★★★★★ ()

nginx и есть та самая «башня аисберга» уязвимость уровня ро хочешь читоты используешь апач , а пользуясь конторами которые некогда украли смежную технологию и надеяться что они у тебя что не сопрут ну так себе

anonymous ()

Специально для тебя, которому нужен скаляр всепропалости, придумана такая штука как CVSS scores, бывают с поправкой на твой дистрибутив.

t184256 ★★★★★ ()