LINUX.ORG.RU

В OpenSSL обнаружена критическая уязвимость

 , ,


0

3

В OpenSSL обнаружена критическая уязвимость, об этом сообщают Адам Лэнгли (Adam Langley) из Google и Дэвид Бенджамин (David Benjamin) из проекта BoringSSL.

В OpenSSL была обнаружена уязвимость CVE-2015-1793, позволяющая обойти процедуру проверки сертификата и организовать подтверждённое соединение с использованием подставного сертификата.

Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL 1.0.1n и 1.0.2b, в результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата, если первая попытка построения цепочки подтверждения доверия не увенчалась успехом. Это позволяет атакующему подменить сертификат.

Ранее в компанию Google уже сообщалось о различных подменах с использованием поддельных сертификатов.

>>> Подробности



Проверено: maxcom ()

Похожие темы

В приложении для смарт-унитазов Lixil Satis обнаружена критическая уязвимость

ЛОР как бы намекает в какой именно унитаз стоит выбросить это поделие.

h578b1bde ★☆ ()

Интересно, сколько ещё идиотам нужно аргументов, чтобы наконец-то начать использовать GnuTLS?

anonymous ()

Red Hat, CentOS and Ubuntu appear to be entirely unaffected by this vulnerability, since they had no OpenSSL updates since June 2015

tailgunner ★★★★★ ()

А сколько ещё неизвестных общественности критических уязвимостей.

Deathstalker ★★★★★ ()

результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата

А ведь наверняка «хотели как лучше»....

gns ★★★★★ ()

петросяны выше просто не понимают, что в остальном софте уязвимости просто не ищут

anonymous ()
Ответ на: комментарий от te111011010

таки да походу ФСБ. на дващах ктото недавно жаловался что Ростелеком пытался сертификат подменить

anonymous ()

Указать, что пофиксили, «позабыл»?

Fixed in OpenSSL 1.0.2d (Affected 1.0.2c, 1.0.2b)
Fixed in OpenSSL 1.0.1p (Affected 1.0.1o, 1.0.1n)

pS ()

либрил, либрю и буду либрить

buratino ★★★★★ ()

В OpenSSL обнаружена критическая уязвимость

никогда такого не было и вот опять(с)

WARNING ★★★★ ()
Ответ на: комментарий от te111011010

Смотря насколько он внимателен. Может он fingerprint-ы от всех посещаемых им сайтов помнит. На самом деле это может быть полезным навыком.

Legioner ★★★★★ ()

Традиционненько.

CYB3R ★★★★★ ()
Ответ на: комментарий от anonymous

Ростелек этой фигней баловался давно еще. По теме - решето.

upcFrost ★★★★★ ()

Опять? Вроде бы MICROSOFT начала спонсировать OpenBSD для улучшения качества этой библиотеки. Откуда же ошибки?

anonymous ()
Ответ на: комментарий от anonymous

Вроде бы MICROSOFT начала спонсировать OpenBSD для улучшения качества этой библиотеки. Откуда же ошибки?
Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL

goingUp ★★★★★ ()
Ответ на: комментарий от Debasher

Ошибка-то новая. Совсем недавно было добавлено, поэтому так мало версий и затронуто.

Если будут такими же темпами разрыв между внесением ошибок и их исправлением, то скоро будут исправлять ещё до внесения. :)

zink ★★ ()
Ответ на: комментарий от anonymous

Единственный адекватный коммент за весь тред

anonymous ()

OpenSSL ненужен.

anonymous ()
Ответ на: комментарий от Debasher

Ну, я имел в виду что ошибка находится на уровне яп :-)

Не видел ещё ни одного языка, который бы подставлял ошибки в код. Ошибки этого класса, внезапно, можно с тем же успехом сделать как в С, так и в Ассемблере и в JS и Ruby и вообще любом языке на выбор. Ошибка, как всегда выше уровнем.

zink ★★ ()
Ответ на: комментарий от zink

Любой программист статистически допускает n количество ошибок в m логики банально из-за того что он человек. Язык может способствовать уменьшению n.

Си не способствует.

Debasher ★★★★★ ()

Всегда после таких новостей ржу над белками-истеричками в комментах. Как же сложно для некоторых понять, что коль скоро вы читаете эту новость, уязвимость была найдена и исправлена, а если о каком то проекте нет таких новостей - это не значит что в нём нет уязвимостей, это лишь значит, что они ещё не найдены и не исправлены.

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

это не значит что в нём нет уязвимостей, это лишь значит, что они ещё не найдены _разработчиками_ и не исправлены.

Уязвимости-то как раз могут быть найдены и использоваться узким кругом. А в данном случае довольно оперативно нашли и заткнули дырку. И это радует, значит смотрят и тестируют.

zink ★★ ()
Ответ на: комментарий от eternal_sorrow

это не значит что в нём нет уязвимостей, это лишь значит, что они ещё не найдены и не исправлены.

Но и не значит, что есть, алогичный ты мой. И да, к Розенталю, быдло!

anonymous ()
Ответ на: комментарий от te111011010

таки да походу ФСБ. на дващах ктото недавно жаловался что Ростелеком пытался сертификат подменить

Как раз, если ФСБ, то подмены бы пользователь не заметил.

Просто не успел бы пожаловаться на дваче.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.