LINUX.ORG.RU

Уязвимость в OpenSSL (CAN-2005-2969)


0

0

Обнаружена уязвимость во всех версиях OpenSSL ( не включая 0.9.7h и 0.9.8a ). Версии 0.9.7h и 0.9.8a выпущены, чтобы исправить эту уязвимость. Потенциально могут быть затронуты все приложения которые используют реализации SSL/TLS предоставляемые с помощью библиотеки OpenSSL.

Приложения подвержены уязвимости, если они используют опцию SSL_OP_MSIE_SSLV2_RSA_PADDING. Эта опция запрещает шаг верификации в SSL 2.0 сервере. Атакующий, используя атаку типа "man in the middle", может принудить клиента и сервер к согласованию на протоколе SSL 2.0, даже если стороны поддерживают SSL 3.0 или TLS 1.0. Между тем протокол SSL 2.0 известен как слабозащищенный и поддерживаетcz только как запасной.

Приложения не использующие ни SSL_OP_MSIE_SSLV2_RSA_PADDING, ни SSL_OP_ALL не подвержены уязвимости. Приложения которые запрещают использование SSL 2.0 также не подвержены.

Есть несколько способов избежать данной уязвимости.

1. Запретить SSL 2.0 в OpenSSL-приложениях. Протокол SSL 2.0 рекомендуется запретить в любом случае из-за его слабой защищенности.

2. Обновите приложения базирующиеся на OpenSSL. Данной уязвимости не подвержены следующии версии OpenSSL: - версия 0.9.7h (и выше). - версия 0.9.8a (и выше).

Вы можете загрузить исходные коды OpenSSL со следующих сайтов http://www.openssl.org/source/ ftp://ftp.openssl.org/source/

Следующий патч может быть применен к исходному код OpenSSL чтобы разрешить проблему. Патч совместим с ветвями 0.9.6, 0.9.7, 0.9.8 OpenSSL.

http://www.openssl.org/news/patch-CAN...

>>> Подробности (English)

★★

Проверено: Shaman007 ()

Re: Уязвимость в OpenSSL (CAN-2005-2969)

дуршлаг

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

> дуршлаг

Ты на опцию посмотри: SSL_OP_MSIE_SSLV2_RSA_PADDING. Думаю, вопросы отпадут... ;-F)

atrus ★★★★★ ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от atrus

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Самое печальное, M$ упорно продолжает в IE, по умолчанию, выставлять разрешенным SSL2 и запрещенным TLS1. 99% юзверей ни хрена в этом не понимают и, естественно, не трогают.

Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

>Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

Это след ФБР и ЦРУ для борьбы с международным терроризмом. Man-in-the-middle - это как раз агент контр-террористичекой организации. Ну или террористичекой органзации.

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Уж не знаю, что они там наворотили, только OpenSSH 4.2 отказывается работать с новым OpenSSL-0.9.7h

Как обычно: закрываем один баг, создаем пару новых...

anonymous ()

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Ну вот, теперь патч, который поддержку ГОСТ добавляет, обновлять наверняка.

anonymous ()

Re: Уязвимость в OpenSSL (CAN-2005-2969)

это надуманная проблема безопасности.. странно, вроде на лоре тут денег за это не выбьешь, тогда зачем такие новости?

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

> Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

Думаю, пополам на пополам. С одной строны разгильдяйство, а с другой - возможность, изменив пресет, "значительно повысить защищённость системы". :)

atrus ★★★★★ ()

Re: Уязвимость в OpenSSL (CAN-2005-2969)

разработчикам опенссл давно пора переседать со своих велосипедов на Tommy.

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

можно подробней? в чем заключается "OpenSSH 4.2 отказывается работать с новым OpenSSL-0.9.7h" ???

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Однажды мне попался сайт, который при включённом в IE TLS 1.0 работал неправильно. Не знаю в чём и где была тогда проблема, но после отключения TLS тот сайт прекрасно работал.

bbk123 ★★★★★ ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

>можно подробней? в чем заключается "OpenSSH 4.2 отказывается работать с новым OpenSSL-0.9.7h" ???

Собрал OpenSSL-0.9.7h с теми же опциями, что и предыдущий OpenSSL-0.9.7g. Обновил на сервере. SSHD (OpenSSH-4.2р1) при установлении соединения падает в корку. Разбираться влом - вернул OpenSSL-0.9.7g. Опять стало нормально.

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Блин! Идиоты! Слов нету! Ну сколько можно!!

Из листа openssl-users:

Binary compatibility between 0.9.7g and 0.9.7h?

I just tried to upgrade from openssl-0.9.7g to 0.9.7h and noticed that my openssh-4.2p1 server and clients now crash with segfault with the new openssl shared library!

Re-compiling the openssh sources against the new openssl library headers seems to cure the problem, but still this is an unfortunate situation as a lot of other packages depend on the openssl libraries. I don't want to risk system stability by installing security updates...

Is this expected behaviour? I haven't found any obvious hint in the README or CHANGES files...

Все! Ухожу на старый финский SSH. Он, хоть, не зависит от этого глюкавого поделия - openssl.

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

Правда, применение этого патча приводит к:

hmac.c: In function `HMAC_Final':

hmac.c:135: error: `EVP_MAX_MD_SIZE' undeclared (first use in this function)

Зато, сразу видны преймущества open source! Моментально отреагировали на уязвимость - выпустили новую версию. То, что по пути сломали совместимость, это не важно - быстренько выпустили исправляющий патч. То, что после этого патча вовсе перестало собираться, так же не важно - еще патчей навыпускают...

anonymous ()
Ответ на: Re: Уязвимость в OpenSSL (CAN-2005-2969) от anonymous

Re: Уязвимость в OpenSSL (CAN-2005-2969)

>вовсе перестало собираться, так же не важно - еще патчей навыпускают

иди на винфак поплачься

зы. есть же идиоты которые на основе одной программы начинают делать громкие заявления об опенсорс. зыы. поступи как Томми

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.