Уязвимость в OpenSSL

0

0

В библиотеке OpenSSL была обнаружена уязвимость, позволяющая злоумышленнику провести DoS атаку через исчерпание доступной памяти. Уязвимая функция CRYPTO_free_all_ex_data() используется в таких приложениях как Apache с модулем PHP.

Патч

>>> Подробности

Ссылка

←	Вышел Wine 1.1.37

ОЕМ беззаконие: требуется юрист

→

Решето!

melkor217 ★★★★★
(22.01.10 19:01:03 MSK)

Вы боялись, а оно само дырявое :}

Deleted
(23.01.10 00:17:04 MSK)

Ссылка

http://www.debian.org/security/2010/dsa-1970

в дебиане уже неделю назад пропатчили,
с другой стороны очень странно что не вышел корректирующий релиз openssl 0.9.8 ,
еще более странен выход
3767860 Jan 20 18:40:03 2010 openssl-0.9.8m-beta1.tar.gz
я даже не понимаю как это можно вообще выпустить бету того, что уже давно стабильно, это они предлагают патч этот потестировать?

Sylvia ★★★★★
(23.01.10 02:37:51 MSK)

Ссылка

Ответ на: комментарий от melkor217 22.01.10 19:01:03 MSK

>Решето!

кстати да, всегда было интересно, почему в темах о дырках используется тег «безопасность». слово имеет совершенно противоположный смысл, «решето логичнее».

registrant ★★★★★
(23.01.10 02:40:04 MSK) автор топика

Ссылка

Как только люди не извращаются, чтобы заломать openssl. Этот баг прикольный, хотелось бы увидеть практическую реализацию :D

SteelKey ★
(23.01.10 16:46:29 MSK)

Ссылка

три дня назад обновился.

MikeDM ★★★★★
(23.01.10 17:03:38 MSK)

Ссылка

Ужас какой!
//Apache + perl-cgi

AITap ★★★★★
(23.01.10 17:26:33 MSK)

Ссылка

Ответ на: комментарий от melkor217 22.01.10 19:01:03 MSK

> Решето!

так и знал, что это будет 1ый комментарий в новости

P.S Черт! Меня опередили =)

irq ★
(23.01.10 18:09:28 MSK)

Ссылка

хорошо что я использую fastcgi

anonymous
(23.01.10 18:26:22 MSK)

Ссылка

Хорошо что я не пользуюсь шифрованием.

anonymous
(23.01.10 19:49:57 MSK)

Ссылка

Решето!

lester_dev ★★★★★
(23.01.10 20:14:48 MSK)

Ссылка

пыхпыхи не нужны же

matimatik ★
(23.01.10 20:49:15 MSK)

Ссылка

уже обновился

umvr
(24.01.10 02:34:31 MSK)

Ссылка

Насколько я понял из оригинального описания (таки сходил по ссылке вместо лентяя ньюсмейкера), происходит утечка памяти при вызове «CRYPTO_free_all_ex_data()» «prematurely before exiting», т.е. «преждевременно перед выходом». А как можно вызвать функцию ПОСЛЕ выхода из программы?!?! Какие-то клоуны, а не прогеры.

Второй вопрос: коль скоро в линупсе всё защищено, не всё ли равно, кто и что там недоотдал системе? Процесс убит -> вся его память должна вернуться. Или я что-то недопонимаю?

matumba ★★★★★
(24.01.10 14:28:04 MSK)

Ответ на: комментарий от matumba 24.01.10 14:28:04 MSK

> Второй вопрос: коль скоро в линупсе всё защищено, не всё ли равно,

кто и что там недоотдал системе? Процесс убит -> вся его память

должна вернуться. Или я что-то недопонимаю?

Очевидно недопонимаешь, видимо в силу своей зелености (судя по тому, как безапеляционно ты делаешь выводы). Выдели в программе шаредную память, а потом убей программу, которой ты это делал. Подивись результату.

anonymous-misterx
(24.01.10 19:05:45 MSK)