LINUX.ORG.RU

Новые уязвимости OpenSSL

 , ,


0

5

На сайте openssl.org опубликована информация о новых проблемах безопасности в OpenSSL, некоторые из них могут использоваться для получения передаваемых данных.

SSL/TLS уязвимость MITM (man in the middle) (CVE-2014-0224)

Используя специально сформированный пакет handshake (отправляемый при установке соединения), злоумышленник может вынудить клиент и сервер создать слабые ключи. Данная уязвимость позволяет расшифровывать и подменять данные, реализуя атаку man-in-the-middle. Данная атака осуществима только в случае работы с уязвимыми клиентом и сервером.

Уязвимы серверные реализации OpenSSL 1.0.1 и 1.0.2-beta1, клиентские 0.9.8, 1.0.0, 1.0.1. Рекомендуется обновить ПО.

DTLS уязвимость, связанная с рекурсией (CVE-2014-0221)

Узвимость в реализации протокола датаграмм безопасности транспортного уровня, работающего поверх UDP, позволяет вызвать падение OpenSSL клиента в результате ухода в рекурсию. Может использоваться для выполнения DoS атаки.

Пользователям OpenSSL 0.9.8 DTLS необходимо обновиться до версии 0.9.8za
Пользователям OpenSSL 1.0.0 DTLS необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 DTLS необходимо обновиться до версии 1.0.1h.

DTLS проблема с ошибочными фрагментами (CVE-2014-0195)

Отправка неверных фрагментов DTLS может привести к ошибке переполнения буфера. Потенциально может привести к исполнению произвольного кода.

Уязвимость касается как клиента, так и сервера, рекомендации по обновлению такие же, как и в предыдущем пункте.

SSL_MODE_RELEASE_BUFFERS разыменование нулевого указателя (CVE-2014-0198)

Удаленный злоумышленник может вызвать отказ в обслуживании, за счет разыменования нулевого указателя в функции do_ssl3_write_function. Уязвимость затрагивает OpenSSL 1.0.0 и 1.0.1, в которых включена опция SSL_MODE_RELEASE_BUFFERS, что бывает редко.

Также в этом случае из-за ошибки в функции ssl3_read_bytes, злоумышленник может вставить свои данные в иные сессии или вызвать отказ в обслуживании. (CVE-2010-5298)

Пользователям OpenSSL 1.0.0 необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 необходимо обновиться до версии 1.0.1h.

DoS в анонимном ECDH (CVE-2014-3470) OpenSSL TLS в режиме анонимного ECDH подвержен уязвимости типа отказ в обслуживании.

Пользователям OpenSSL 0.9.8 DTLS необходимо обновиться до версии 0.9.8za
Пользователям OpenSSL 1.0.0 DTLS необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 DTLS необходимо обновиться до версии 1.0.1h.

OpenSSL это свободная реализация протоколов TLS и SSL, повсеместно используемая в открытом ПО. Недавние сообщения об уязвимости heartbleed вызвали волну обсуждения надежности данной библиотеки.

>>> Подробности

★★

Проверено: maxcom ()
Последнее исправление: maxcom (всего исправлений: 3)

Опять шум поднимут или спокойно обновятся?

a1batross ★★★★★
()

в визи уже приехало

anonymous
()
Ответ на: комментарий от Lincor

спасение в лице LibreSSL уже близко!

а там в LibreSSL — будут исрпавлять эти ошибки? [CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2014-3470, ...]

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

судя по новостям с ЛОР-а о LibreSSL, они удалят «лишнюю функциональность» (код, в котором были эти уязвимости)

Lincor
()
Ответ на: комментарий от Extraterrestrial

в том то и идея опенсорса чтобы решето (то бишь все программы) быстро покрывалось заплатками. всё же лучше чем ничего

demoth
()

После полутора десятков лет существования самой популярной открытой реализации SSL кому-то вдруг пришло в голову проверить код...

selivan ★★★
()

Да они издеваются что ли? Только недавно Фряху везде обновил. Опять? Им надо выпиливать это говно из базы.

prv_cowboy
()

Фак, локалхост в опасности!

d9d9 ★★★★
()

Хоть одна нормальная реализация есть??? Чтобы без дырок... Неужели нельзя верифицировать хотя бы одну библиотеку? Самую важную...

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от nanoolinux

С - отличный язык!

Вот почему нельзя писать на каком-то более надежном верифицируемом языке, гонять эту реализацию в целях поиска проблем, а затем уже транслировать в язык Си или машинные коды???

Есть же проекты для Python->Native и тому подобные...

I-Love-Microsoft ★★★★★
()
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

Код же открыт, займитесь. Вам никто ничем не обязан

anonymous
()
Ответ на: комментарий от selivan

Там еще куча закладок. АНБ всеравно довольно. Зонды бывают и опенсоурсными тоже.

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

Вот почему нельзя писать на каком-то более надежном верифицируемом языке

Потому что такого языка пока нет.

tailgunner ★★★★★
()
Ответ на: комментарий от gh0stwizard

Просто баги и дыри не публикуют. А они там есть

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

Вот почему нельзя писать на каком-то более надежном верифицируемом языке, гонять эту реализацию в целях поиска проблем, а затем уже транслировать в язык Си или машинные коды???

Ты спутал проблемы компилятора с проблемами разработки ПО. В данном случае все решается через тестирование. Тонны книжек по отладке и тестированию написано. В данном случае фишка в том, что проект держится на одном человеке. И я даже не знаю, сколько и платят ли вообще за эту работу.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

с проблемами разработки ПО

Конечно! Замечательно выходить забивать гвозди воздушным шариком! А молоток наполнять гелием и подбрасывать его вверх, что бы он улетел! Весело же)

nanoolinux ★★★★
()

Значит и в Red Star дыры есть?

mittorn ★★★★★
()

И они посмели выпустить версию 1.0 с такими ошибками? В 1.0 вообще не должно быть кода, стабилизированного меньше 10 лет назад.

Deleted
()
Ответ на: комментарий от Deleted

Я знаю куда Поттерингу нужно направить свои усилия.

Да, пусть напишет ssld.

morse ★★★★★
()

а где можно ознакомиться с планом подготовки новых уязвимостей? есть ли какой-нибудь график?

feofil
()
Ответ на: комментарий от gh0stwizard

Хмм... Интересно. Стоит взять на заметку.

CYB3R ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Если ты не умеешь писать на Си, почему ты думаешь, что сможешь на каком-то другом языке программирования ? Будто если бы авторы написали этот-же участок кода на питоне, они бы не допустили ошибок в алгоритме, который они не особо знают..

Sharezil
()
Ответ на: комментарий от nanoolinux

С - отличный язык!

отличнейший от других. Думаю что так же как пилить бревно скальпелем.

splinter ★★★★★
()

недавно только в Zyxel обновили. теперь опять хз сколько времени ждать пока и это починят и запилят в прошивку

abtm
()
Ответ на: комментарий от nanoolinux

Нет, это не C. Там libc - переписан в OPENSSL_libc для 'портабельности'. Результат к сям отношения имеет мало.

Посмотри в случайном порядке:
ted unangst (http://www.tedunangst.com/flak/post/worst-common-denominator-programming)
презентация с bsdcan (http://www.openbsd.org/papers/bsdcan14-libressl/)
исходный код openssl

takino ★★★★★
()
Ответ на: комментарий от bookman900

А на МИнт чета вот и прилетело 1.0.1е, кажись..

Да, я еще удивился - чего это они опять OpenSSL шлют? Вроде было уже.

void_ptr ★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Какой смешной дяденька. Дяденька, а как вы в динамично-типизированном языке планируете писать 'безопасно'?)

takino ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.