LINUX.ORG.RU

В OpenSSL обнаружена критическая уязвимость

 , ,


0

3

В OpenSSL обнаружена критическая уязвимость, об этом сообщают Адам Лэнгли (Adam Langley) из Google и Дэвид Бенджамин (David Benjamin) из проекта BoringSSL.

В OpenSSL была обнаружена уязвимость CVE-2015-1793, позволяющая обойти процедуру проверки сертификата и организовать подтверждённое соединение с использованием подставного сертификата.

Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL 1.0.1n и 1.0.2b, в результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата, если первая попытка построения цепочки подтверждения доверия не увенчалась успехом. Это позволяет атакующему подменить сертификат.

Ранее в компанию Google уже сообщалось о различных подменах с использованием поддельных сертификатов.

>>> Подробности



Проверено: maxcom ()

Ответ на: комментарий от anonymous

Опять? Вроде бы MICROSOFT начала спонсировать OpenBSD для улучшения качества этой библиотеки. Откуда же ошибки?

больше денег => больше бухают => больше ошибок

что непонятно?

anonymous ()
Ответ на: комментарий от FIL

Главное чтоб эксперты были не из АНБ (и не из других спецслужб)

KUser ()
Ответ на: комментарий от anonymous

Если проект достаточно большой, то уязвимостей наподобие сабжевой в нём не может не быть чисто статистически.

к Розенталю, быдло!

??

eternal_sorrow ★★★★★ ()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от kuznetsovin

- Парни, этот самолёт старый, он выработал свой ресурс! Сдайте на металлолом!
- Что? Где твои инструменты?! А ну чини эту рухлядь давай!
- Парни, его списать надо. Это единственный вариант.
- Балабошка!!! А ну давай заплатки накладывай!
- Ну готово, удачного полёта.

Deathstalker ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

Проблема в том, что OpenSSL пишут не профессиональные программисты, а математики, немного умеющие прогать. В исходниках - дичайший трудночитаемый говнокод. Пока это не изменится, он так и будет состоять из ошибок, но вместо этого ноют «ну мы же опенсорс, мы ниииищие»

anonymous ()
Ответ на: комментарий от zink

Из того, что эти найдены, ничуть не следует, что нет скрытых. Пофиксены только те, что на поверхности. Учитывая, кто его пишет, и как, удивительно только то, что он вообще работает.

anonymous ()
Ответ на: комментарий от Debasher

Си не способствует.

Чем ниже порог вхождения в язык, тем больше шлака производится с его помощью. Историю не обманешь.

andreyu ★★★★★ ()

Ну как библиотека криптоалгоритмов (libcrypto), OpenSSL очень даже неплох. А вот SSL как протокол я уже давно не воспринимаю всерьез.

segfault ★★★★★ ()
Ответ на: комментарий от Debasher

Ну, я имел в виду что ошибка находится на уровне яп :-)

Ошибка архитектурная.

segfault ★★★★★ ()
Ответ на: Похожие темы от h578b1bde

мелкие уязвимости в унитазе я замазываю герметиком. помогает. критическую уязвимость толчка боюсь даже представить. наверное, это дыра к соседям снизу и они могут перехватить весь трафик.
ну а по теме: что-то стало петросянить OpenSSL постоянно. с одной стороны, конечно, хорошо, что его тестируют. но с другой, нахрена эти новые фичи вводить, без которых все сто лет жили превосходно и не страдали?

Iron_Bug ★★★★ ()
Ответ на: комментарий от Prius

В нормальных дистрах уязвимости и не было, так что хз, кто ещё тут сосёт.

То есть «нормальные» дистры настолько слоу, что до них баг не дошел? А что бы ты сказал, если бы баг был древний и таки попал в некродистры, которые ты считаешь нормальными?

anonymous ()
Ответ на: комментарий от i_gnatenko_brain

Не удивительно, что если они начали контрибьютить в openssl там дыры появились.

Сколько ещё неадекватов в треде увидят мистическую связь между спонсированием OpenBSD и уязвимостями в OpenSSL, к которой OpenBSD не имеет отношения?

anonymous ()
Ответ на: комментарий от anonymous

Лорчую. Скандал вокруг OpenSSL стал для него горнилом лютого испытания, как написано

И обращу на тебя руку Мою и, как в щелочи, очищу с тебя примесь, и отделю от тебя все свинцовое

Csandriel ()
Ответ на: комментарий от goingUp

Глубокомысленно. Если M$ туда засунул свой хобот, а в нем бабло, то я даже не знаю, чего теперь ждать.

Csandriel ()
Ответ на: комментарий от drfaust

Антивирусные компании рекомендуют всем пользователям временно отключить Flash в браузерах.

Правильно. Хоронить флеш. Временно, это до Страшного Суда.

Csandriel ()
Ответ на: комментарий от Csandriel

Срать на флеш, там где действительно нужно у меня даже Хов нет, а домашние фотки с женой - пусть смотрят, завидуют чужому счастью
Меня интересует другое - сколько ещё «вкусняшек» в этих 400Гб.
Наверняка множество, но к кому они попадут - АНБ эта атака явно будет не по душе - отобрали любимые инструменты, они постараются их вернуть самыми обычными «человечными» средствами...
Охота наверняка уже началась...

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от drfaust

они постараются их вернуть самыми обычными «человечными» средствами...

Если это очевидно для нас, значит не менее очевидно для тех, кто эти данные добыл. Господь их не оставит, я верю, если сами не подставятся.

Csandriel ()
Ответ на: комментарий от Csandriel

если сами не подставятся

Плохо быть ими, если им вздумается продать данные, тогда вилы вологодские, практически гарантированно. Наверняка им уже пытались делалать предложения по покупке сведений об уязвимостях «заинтересованные разработчики».

Csandriel ()
Ответ на: комментарий от Csandriel

Их только «инкогнито» спасёт, иначе если станет известно кто это(за исключением китайцев - у них своя политика к буржуям) то им и так хана будет - «человечные методы» заработают.

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от anonymous

остальные не успели сунуть дырявую версию в репозиторий :)

Slackware_user ★★★★★ ()
Ответ на: комментарий от drfaust

Мне кажется даже инкогнито не спасет, если будут торговать. Оплата уже требует обратной связи. А у таких контор пропаливание по торговым связям наработано наркоторговлей и оружием очень давно.

Csandriel ()
Ответ на: комментарий от Csandriel

Мне кажется даже инкогнито не спасет, если будут торговать. Оплата уже требует обратной связи. А у таких контор пропаливание по торговым связям наработано наркоторговлей и оружием очень давно.

Плюсую. Вспомнилась история еще советских времен. У меня дед работал в связи-гостелерадио и т.д. Так вот наши в те времена производили достаточно хорошие для мирового уровня проф.магнитофоны (это те которые стоили много десятков тыс, и производились что называется штучно), но была «забугорная» фирма (название и страну не помню) у которой на аналогичной технике характеристики были еще лучше. Так вот наши решили такой девайс купить и разобрать, но времена были совейские, напрямую палиться было никак нельзя. Покупали перепродавали через кучу стран, в результате где-то через год «посылочка» доехала. Когда ее вскрыли там оказалось благодарственное письмо от владельца той компании на имя чуть ли не нашего министра связи что-то типа «мы очень рады, что Вы решили воспользоваться продукцией нашей компании».

anc ★★★★★ ()
Ответ на: комментарий от nixit

за денюжку, пишут виндовс.

Подразуемевается, если за деньги то качественно? Неа. В прагматичном мире коммерции качество может диктоваться только конкуренцией. Если конкуренции нет, то критично соотношение затрат/выгоды, а это минус в качество. В винде конкуренции нет. Там коммунизм. Ее пишет одна контора. И контора эта чувствует себя монополистом на десктопе. Пока их выгоде ничего не угрожает, им выгоднее минимизировать затраты. Тоесть меньше заморачиваться. Со всеми вытекающими, которые мы наблюдаем уже десятилетия: например «десктопная» ось не может в полноценный десктоп.

Csandriel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.