LINUX.ORG.RU

Найдены две возможности произвести DoS в OpenSSL


0

0

В OpenSSL были найдены и уже исправлены две возможности произвести DoS атаку. Первая уязвимость была обнаружена группой разработчиков OpenSSL при помощи Codenomicon TLS Test Tool. Она заключается в неправильном использовании NULL указателя в do_change_cipher_spec() функции. Вторая уязвимость была обнаружена доктором Стефаном Хенсоном. Она представляет из себя баг в коде, который занимается установлением связи по протоколам SSL/TLS с использованием Kerberos Cipher Suites (RFC 2712). Вторая уязвимость может проявиться лишь при использовании програмного обеспечения использующего Kerberos Cipher Suites. Хотя такое програмное обеспечение встречается редко, не понятно почему недавно вышедшие патчи для FreeBSD и OpenBSD включают исправление только первой уязвимости.

>>> OpenSSL Security Advisory

anonymous

Проверено: ivlad

Re: Найдены две возможности произвести DoS в OpenSSL

DSA-465-1

lumag ★★ ()

Re: Найдены две возможности произвести DoS в OpenSSL

Всё ясно. openssl и openssh пошли дорогой sendmail и bind. Эх, если бы
не дурацкие ограничения на криптографию, доктор Бернштейн уже давно
бы сделал нормальный аналог, такой же изящный и неуязвимый, как qmail.
Просто удивительно, до чего криво люди умеют писать софт!

anonymous ()

Re: Найдены две возможности произвести DoS в OpenSSL

С FreeBSD ситуация прояснилась. Там просто нет поддержки Kerberos Cipher Suites в OpenSSL, и в той, что в base system, и той, что в портах. С OpenBSD ситуация наверно такая же. А вот сайт NetBSD о обеих уязвимостях молчит - http://www.netbsd.org/Security/

anonymous ()

Re: Найдены две возможности произвести DoS в OpenSSL

на слаке уже поставляется патченный опенссл, поэтому эта новость 50% юзерам не особо интересна.

ananymous ()

Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> А какие сейчас есть ограраничения на криптографию?

Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы,
которую ему запретили опубликовать с открытыми текстами.

anonymous ()

Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

>Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы, которую ему запретили опубликовать с открытыми текстами.

Если не секрет, что за программа?

anonymous ()

Re: Найдены две возможности произвести DoS в OpenSSL

telnet менее уязвим чем ssh etc. ;)

anonymous ()

Re: Найдены две возможности произвести DoS в OpenSSL

В связи с новостью пересобирал src rpm на RH 7.1 с патчами. Там после сборки пускается такой тест: openssl-threads-test --threads 100 - явно какой-то редхатовский тест. Так вот этот тест у меня не проходит - вылетает с "CPU time limit exceeded". Мож кто знает в чём причина? Пришлось отключить этот тест, собрал - вроде работает.

abramoff ()

Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

ну да, теперь тебе осталось указать урл к твоей уникальной разработке - русскому суперстабильному\меганадежному почтовику

anonymous ()

Re: Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> > И ,в добавок, ненавидяший Россию и Русских. > Откуда такая информация?

русские его всего лишь конкретно достали http://cr.yp.to/conferences/russia.html

dilmah ★★★★★ ()

Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> Если не секрет, что за программа?

Программа называется "snuffle" - generic encription and decryption
program. Дело тянется с 1992-го года. Примерно с этого времени мы могли бы иметь нормальный ssl/ssh, но не имеем ;(

anonymous ()

Re: Re: Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> русские его всего лишь конкретно достали

Достать может и телеграфный столб, если задаться целью. А у Бернштейна
такая цель была...

anonymous ()

Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> Бернштейн - идиот не умеющий программировать.

Возможно. Тем не менее, лучше него пока никто не программирует ;)
То есть, если он не умеет (а это возможно), то все остальные не имеют
даже отдалённого понятия о программировании.

> И ,в добавок, ненавидяший Россию и Русских.

Как и все сионисты. Ну и что? Глубокая мудрость состоит не в ненависти
к врагам (это почти все умеют), а в использовании их навыков и их
энергии против них же ;)

> qmail - убогое поделие.

Смотри первый абзац. Если qmail - убогое поделие (а это возможно), то
все остальные...

anonymous ()

Re: Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

про сионистов можно прочитать вот здесь http://stephan.pp.ru/jews/Folder.2004-03-18.2527568642/ а про использование ненависти врага вот тут http://stephan.pp.ru/aryan/liftup сайт на plone.

stephan ()

Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

ееех. разницу понимаешь между динамической и статической линковкой? если статика то в любом случае прийдется пересобрать, а если динамика то пересборка тебе ничем не помешает. а фишка в том что срц.рпм пихает ссл в левые каталоги, не так как предусмотрено оригиналом. потому многие программы не ограничивающиеся линухом не видят его и приходиться совершать определенное число излишних телодвижений. почитай про elf man dlopen и т.д.

anonymous ()

Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

Да ладно :-)
Все нормально обновляется:
тащим openssl-0.9.7d.tar.bz2 с родного сайта,
делаем rpmbuild -ts openssl-0.9.7d.tar.bz2,
rpm --rebuild openssl-0.9.7d-1.src.rpm,
rpm -U openssl-0.9.7d*
и все жирно...

spirit ★★★★★ ()

Re: Re: Re: Re: Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> ну типа раскручиваю свой сайт :) демонстрирую возможности Plone

Ой, чего-то не нравится мне этот Plone. Слишком намудрили в некоторых
местах. Надо быть проще!

anonymous ()

Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

>ееех. разницу понимаешь между динамической и статической линковкой

да понимаю, понимаю...
динамически у меня слинковано конечно. Тут дело в чем: afaik, если прога была слинкована _динамически_ скажем с openssl-0.9.6, а я возьму и 0.9.6 заменю скажем на 0.9.6b - то прога эта у меня не запустится. И уж тем более - если поставлю 0.9.7. У openssl сильно к версии привязано. Вон не случайно в RH в одном дистрибе аж 3 версии этой openssl (для совместимости с софтом из предыдущих версий). Например, в 7.3 идут 0.9.5a, 0.9.6 и 0.9.6b.

abramoff ()

Re: Найдены две возможности произвести DoS в OpenSSL

Кстати, чего-то fedoralegacy.org не шевелится... скорей бы уж... а то надоело самому компилить :)

abramoff ()

Re: Re: Re: Re: Re: Re: Найдены две возможности произвести DoS в OpenSSL

> заменю скажем на 0.9.6b - то прога эта у меня не запустится

Говори точнее: не какая-то абстрактная прога, а конкретно openssh.
Ну так для этого случая есть патчик малюсенький, который убирает
проверку на версию openssl. Эта проверка не оправдана и идеологически
не верна. Библиотека в пределах одной major-версии должна быть
совместима сама с собой. Это стандарт.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.