Критическая уязвимость в OpenSSL

Тега «РЕШЕТО» не хватает.

читать совершенно невозможно! разбейте хоть на абзацы. cast Silent

я уже обновился в генте, а они тут только новость в неподтвержденные добавили :)

я уже обновился в генте, а они тут только новость в неподтвержденные добавили :)

я в убунте тоже, и это нормально, зачем кричать об уязвимостях до выхода исправлений

В Debian Stable фикс уже есть

openssl (0.9.8o-4squeeze11) squeeze-security; urgency=low

  * Really apply CVE-2012-2110

 -- Kurt Roeckx <kurt@roeckx.be>  Thu, 19 Apr 2012

в Debian тоже прилетело обновление.

опередил)

С утра в дебиане обновилось.

З.Ы. На опеннете новость появилась раньше :-)

копипаст с opennet'а

Акутуальный вопрос: если у меня, к примеру, собран Postfix с поддержкой openssl, нужно ли мне его персобирать после обновления?

Нет, не нужно. Хотя, если ты его умудрился собрать статиком, то да. :D

копипаст с opennet'а

Предлагаю на OpenNet добавить кнопочку «Рассказать друзьям на ЛОР»

лорчую, обратная кнопочка тоже не помешала бы

Одно вида API OpenSSL хватает, чтобы понять, какое оно кривое... вот и баги на лицо!

Удивляет, как настолько криворукое поделие может являться основной библиотекой для защищенной связи.

это же опенсурс, обычное дело :(

Что-то слишком много багов в разном софте в последнее время.

Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.

Хоть это немного радует.

Ни сна, ни отдыха. Поделие.

Ребят, а можно пример тестого кода и эксплойта к нему, с описанием переполнения буфера и пример эксплойта для него с выполнением любой команды. Хочется на это взглянуть..

можно пример тестого кода и эксплойта к нему, с описанием переполнения буфера и пример эксплойта для него с выполнением любой команды. Хочется на это взглянуть..

по ссылке присутствует вполне внятный код с разбором ситуации, комментариями и чуть не инстукциями по применению.

вам хочется наличия configure или бинарного rpm ?

оставьте тут запрос - знающие люди конечно уже сделали вопрошаемое, для своих домашних нужд и они с удовольствием передадут нужный вам бинарник.

Мне в данном случае интересует не сколько данная уязвимость - а сколько уязвимость с переполнением буфера.

Да, опять проблемы с этим решетом.

поэтому всем пользователям рекомендуется в кратчайшие сроки обновить OpenSSL.

Хы, как раз за пару минут до прочтения новости обновил.

в данном случае интересует не сколько данная уязвимость - а сколько уязвимость с переполнением буфера.

вкратце, иллюстративно, пусть есть код:

char buffer[BUF_SIZE];
void (*)f();
..
int main() {
  gets(buffer);
  f();
}

остаётся сформировать строку, содержащую shell-код и со смещения BUF_SIZE - адрес входа в него. И сунуть это строку на стандартный ввод. Учитывая что адрес входа (расположение buffer) фиксирован - формирование такой строки просто дела навыка и в крайнем случае автоматизируется.

заменой седого gets() на сложнопроизносимые функции 2i_X509_bio, а стандартный ввод на DER-кодированные данные получаем эксплойт указанный в топике.

Про решето уже написали?

Спасибо за ликбез.

Я всегда говорил, что надо переходить на GnuTLS и PolarSSL.

Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.

И сюда эту хрень с опеннета скопипастили. http://seclists.org/fulldisclosure/2012/Apr/225

Correct me if I am wrong, but shouldn't this only be a problem on
systems where a size_t is wider than an int i.e. not on 32 bit systems?

No because size_t is unsigned. Some attacks would rely on being 64 like he stated, but not all.

Хоть это немного радует.

Радует, что у вас на современном оборудовании работает код, собранный для устаревшей архитектуры? Напрасно.

Радует, что у вас на современном оборудовании работает код, собранный для устаревшей архитектуры?

Вообще-то, из моих персональных компьютеров только один умеет 64 бита (тот, что с 4-ым пнём). Остальные не умеют. А 32-битную систему на 64-битном компе я использую, потому что 64 бита ещё не готовы. Костыль в виде мультилиба заставляет меня ставить бинарные 32-битные либы, которые в Генте нельзя скомпилировать без геморроя и которые занимают лишнее место на диске — меня это не устраивает. Без мультилиба некоторые проприетарные программы не заработают, если их нужно будет внезапно запустить. А ещё была проблема с установкой cnijfilter для принтера на 64-битную систему, когда у меня было 64 бита, — файлы не в те каталоги ставились, приходилось перемещать их, устанавливать пакет руками и получил геморрой с незапускающимися бинарями. Это не говоря о том, что какой-то костыль для KDE (ЕМНИП, для внешнего вида gtk-программ, не помню уже, какой) не работал на 64-битной системе.

В общем, не готовы 64 бита для десктопа. Были бы готовы — с радостью использовал бы.

Костыль в виде мультилиба заставляет меня ставить бинарные 32-битные либы, которые в Генте нельзя скомпилировать без геморроя

Проблемы с multilib сугубо у Gentoo, тебе не кажется?

Проблемы с multilib сугубо у Gentoo, тебе не кажется?

Нет, в других дистрибутивах проблем с multilib ещё больше. Если в Генте проблема в том, что из коробки не компилируются 32-битные либы, а ставятся бинари, то в других дистрибутивах ситуация ещё хуже: не компилируются ни 32-битные, ни 64-битные либы.

Если в Генте примерно понятно, как это исправлять (собрать кросс-компилятор и написать ебилды для нужных либ), то в других дистрибутивах возможность исправления этой проблемы вообще не предусмотрена.

в других дистрибутивах ситуация ещё хуже: не компилируются ни 32-битные, ни 64-битные либы

Откуда тогда в репозиториях этих дистрибутивов пакеты с библиотеками?

Откуда тогда в репозиториях этих дистрибутивов пакеты с библиотеками?

Их компилируют мейнтейнеры. Возможности по сборке любых пакетов на своём компьютере в бинарных дистрибутивах сильно ограничены и переусложнены.

Их компилируют мейнтейнеры

Чуть выше ты утверждал принципиальную невозможность их компиляции, если я правильно понял

Чуть выше ты утверждал принципиальную невозможность их компиляции, если я правильно понял

Нет, я, конечно, имел в виду только компиляцию на своём локалхосте.

В бинарных дистрибутивах мейнтейнеры могут вообще просто взять сборку пакета из 32-битной версии, поменять lib на lib32, перезапаковать и выкинуть в репозиторий. Или они могут собрать либы кросскомпилятором. Мне бы подошёл второй вариант для сборки у себя, но готового решения (ебилды) для Генты нет, и это плохо.

трагедия! трагедия!

Есть оверлей, кажется multilib или как-то так. Там ебилды для сборки 32-битных библиотек.

Есть оверлей, кажется multilib или как-то так. Там ебилды для сборки 32-битных библиотек.

Прикольно, не знал о таком. Если вдруг стану переходить на 64 бита, учту это.

Вообще-то, из моих персональных компьютеров только один умеет 64 бита (тот, что с 4-ым пнём). Остальные не умеют.

Работу найти не пробовал? У меня если что МК-52 в кладовке 20 лет лежит, но я не делаю из этого далекоидущих выводов что 16 бит не готовы для продакшена.

и которые занимают лишнее место на диске — меня это не устраивает

446 мегабайт, это ужасно, попроси родителей подарить тебе новый винчестер и положи на полку свой гиговый. У меня он уже 11 лет там.

В общем, не готовы 64 бита для десктопа. Были бы готовы — с радостью использовал бы.

Ты их не умеешь готовить. Или гентушник из тебя поддельный. У меня система уже больше 6 лет на 64 битах живет и все ок.

Пиздатейшая библиотека. Респект создателям

У меня система уже больше 6 лет на 64 битах живет и все ок.

Двачую. То же самое, причём даже pure 64-bit, без никаких multilib. Проприетарные 32-битные быдлоподелия не нужны.

Ребят, а можно пример тестого кода и эксплойта к нему, с описанием переполнения буфера и пример эксплойта для него с выполнением любой команды. Хочется на это взглянуть..

Экплоита нет, вроде, проблему только теоретически нашли в коде. Причем SSL/TLS проблеме не подвержен. Кроме него с сертификатами работают только браузеры, а они openssl не используют. К тому же, похоже, для 32 и 64-бит ее надо эксплуатировать по-разному. Дурацкая уязвимость какая-то.

Нет, в других дистрибутивах проблем с multilib ещё больше. Если в Генте проблема в том, что из коробки не компилируются 32-битные либы, а ставятся бинари, то в других дистрибутивах ситуация ещё хуже: не компилируются ни 32-битные, ни 64-битные либы.

Не везде все так плохо. В федоре проблему мультилиба решили еще с самых первых версий. В системе параллельно могут быть установлены пакеты от разных архитектур. Зависимости рассчитываются автоматически с учетом архитектуры. И никаких проблем со сборкой 32-битных пакетов на 64-битной системе тоже нет:

rpmbuild --target x86_64 ...

rpmbuild --target i686 ...

И никаких проблем со сборкой 32-битных пакетов на 64-битной системе тоже нет: rpmbuild --target x86_64 ...

И как этому rpmbuild'у указать опции конфигурирования, патчи, CFLAGS, LDFLAGS и прочие нужные вещи? И что-то я сомневаюсь, что это вообще возможно, а тем более он не может уметь определять зависимости пакета от опций конфигурирования. Отсутствие этих всех возможностей на корню сжигает все преимущества сборки из исходников.

Ололо, в списке рассылки разработчики сообщили, что версия 0.9.8v оказалась недоисправленной и всем пользователям ветки 0.9 следует обновиться до 0.9.8w.

И как этому rpmbuild'у указать опции конфигурирования

rpmbuild --with baseonly --without debuginfo ...

CFLAGS, LDFLAGS

Так обычно никто не делает, но если хочется:
CFLAGS=«blabla» LDFLAGS=«bububu» rpmbuild ...

Дефолтные опции можно изменить, задав в ~/.rpmmacros переменную %optflags.

По-умолчанию там лежит что-то вроде: -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4, плюс свои опции для каждой архитектуры. Для i686, например, добавляется: -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables.

и прочие нужные вещи?

Для того, чтобы собрать rpm-пакет, достаточно всего два файла — тарбол с исходниками и spec-файл.

Вся инструкция сборки rpm-пакета хранится в одном текстовом файле имяпакета.spec. В нем указываются имя пакета, его версия и описание, команды для сборки (configure, make, python setup.py, pear install или perl Makefile.PL), имена/версии нужных для сборки зависимостей. Чтобы добавить патч, в spec-файл вписывают две строки:

Patch: имя-файла-с-патчем.patch

%patch -p1

Если хочется, чтобы один и тот же пакет из одного спека собирался с разными параметрами, то в спек добавляют эти параметры, а потом задают их через --with и --without в rpmbuild-е.

а тем более он не может уметь определять зависимости пакета от опций конфигурирования.

А это — главное преимущество rpm-а перед, например, deb-ом. Почти все зависимости rpm определяет сам, просто глядя на ldd собранных бинарников.

В общем, из этого я делаю вывод, что rpmbuild — это нечто среднее между гентушным portage и арчевским makepkg. Есть spec-файл, который — нечто вроде ебилда или пкгбилда, есть локальные одноразовые USE-флаги (типа как «USE="-nls -readline" emerge sys-apps/somepackage»), но сохраняемых локальных и вообще глобальных юзов нет — всё равно есть не все возможности portage. И ещё смущает эта фраза:

Если хочется, чтобы один и тот же пакет из одного спека собирался с разными параметрами, то в спек добавляют эти параметры, а потом задают их через --with и --without в rpmbuild-е.

Это значит, что по дефолту все спеки, распространяемые мейнтейнером rpm-дистрибутивов, написаны вообще без «USE-флагов», но есть возможность их руками добавить? Это уже арч какой-то получается, в котором пкгбилды без юзов, или LFS, в котором надо самому писать скрипты сборки.

Почти все зависимости rpm определяет сам, просто глядя на ldd собранных бинарников.

Это, конечно, круто, но только есть одна проблема: на ldd собранных бинарников можно посмотреть только после сборки, но эта информация нужна до сборки, чтобы удовлетворить зависимости. Как они выкручиваются?

но эта информация нужна до сборки

если написатель программы не уёбок, он приводит список зависимостей в readme
иначе, можно посмотреть в исходниках и скриптах autotools/cmake

он приводит список зависимостей в readme

иначе, можно посмотреть в исходниках и скриптах autotools/cmake

Это никак не относится к автоматическому определению зависимостей по библиотекам, с которыми слинковался получившийся бинарник. Раз уж есть такая возможность, то она же как-то работает. Вот мне и интересно знать, как оно работает, если там 2 события (линковка и установка зависимостей), каждое из которых должно произойти раньше другого. То, как можно узнать зависимости вручную, очевидно и так.

PS Ответил не на то сообщение, чтобы не потёрли всю ветку обсуждения в случае удаления сообщения с матом.

В общем, из этого я делаю вывод, что rpmbuild — это нечто среднее между гентушным portage и арчевским makepkg.

Скорее, это что-то вроде bash-а, интерпретатор для spec-файлов, язык которого заточен под сборку пакетов. Он не лазит по репозиториям, и не выкачивает зависимости сам (для этого есть apt/yum). Его задача — это только сборка пакета.

Например, «пакет» исходников mc-4.8.3-1.fc16.src.rpm — это архив, внутри которого лежат исходники mc-4.8.3.tar.xz с официального сайта и mc.spec.

Его можно распаковать и собрать командой `rpmbuild -ba --target i686 mc.spec`. Либо, если spec править не нужно, можно не распаковывая запустить сборку `rpmbuild --rebuild --target i686 mc-4.8.3-1.fc16.src.rpm`.

В результате этой одной команды получится файл бинарного пакета mc-4.8.3-1.fc16.i686.rpm. Этот бинарный пакет можно установить себе, а можно записать на флешку и отнести другу. Или разослать puppet-ом и установить на кучу серверов...

по дефолту все спеки, распространяемые мейнтейнером rpm-дистрибутивов, написаны вообще без «USE-флагов»

Многие, но не все. Поскольку юзеры обычно не пересобирают пакеты, то мейнтейнеры добавляют туда только те опции, которые нужны им самим. Например, в спеке mc вообще нет with-опций, а в спеке ядра их целая куча.

на ldd собранных бинарников можно посмотреть только после сборки, но эта информация нужна до сборки

В rpm это — разные зависимости. Есть исходники, а есть собранный из них бинарный пакет. Для сборки исходников нужны одни зависимости, а для использования собранного бинарного пакета нужны другие.

Например для сборки mc нужен gcc, но для его использования gcc не нужен. В rpm-е это называется Requires и BuildRequires. Зависимости, которые нужны для сборки (BuildRequires), явно указываются в spec-файле. А зависимости собранного бинарного пакета (Requires) определяются автоматически.