LINUX.ORG.RU

Уязвимость в OpenSSL (CAN-2005-2969)


0

0

Обнаружена уязвимость во всех версиях OpenSSL ( не включая 0.9.7h и 0.9.8a ). Версии 0.9.7h и 0.9.8a выпущены, чтобы исправить эту уязвимость. Потенциально могут быть затронуты все приложения которые используют реализации SSL/TLS предоставляемые с помощью библиотеки OpenSSL.

Приложения подвержены уязвимости, если они используют опцию SSL_OP_MSIE_SSLV2_RSA_PADDING. Эта опция запрещает шаг верификации в SSL 2.0 сервере. Атакующий, используя атаку типа "man in the middle", может принудить клиента и сервер к согласованию на протоколе SSL 2.0, даже если стороны поддерживают SSL 3.0 или TLS 1.0. Между тем протокол SSL 2.0 известен как слабозащищенный и поддерживаетcz только как запасной.

Приложения не использующие ни SSL_OP_MSIE_SSLV2_RSA_PADDING, ни SSL_OP_ALL не подвержены уязвимости. Приложения которые запрещают использование SSL 2.0 также не подвержены.

Есть несколько способов избежать данной уязвимости.

1. Запретить SSL 2.0 в OpenSSL-приложениях. Протокол SSL 2.0 рекомендуется запретить в любом случае из-за его слабой защищенности.

2. Обновите приложения базирующиеся на OpenSSL. Данной уязвимости не подвержены следующии версии OpenSSL: - версия 0.9.7h (и выше). - версия 0.9.8a (и выше).

Вы можете загрузить исходные коды OpenSSL со следующих сайтов http://www.openssl.org/source/ ftp://ftp.openssl.org/source/

Следующий патч может быть применен к исходному код OpenSSL чтобы разрешить проблему. Патч совместим с ветвями 0.9.6, 0.9.7, 0.9.8 OpenSSL.

http://www.openssl.org/news/patch-CAN...

>>> Подробности (English)

★★

Проверено: Shaman007 ()
Ответ на: комментарий от atrus

Самое печальное, M$ упорно продолжает в IE, по умолчанию, выставлять разрешенным SSL2 и запрещенным TLS1. 99% юзверей ни хрена в этом не понимают и, естественно, не трогают.

Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

anonymous
()
Ответ на: комментарий от anonymous

>Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

Это след ФБР и ЦРУ для борьбы с международным терроризмом. Man-in-the-middle - это как раз агент контр-террористичекой организации. Ну или террористичекой органзации.

anonymous
()
Ответ на: комментарий от anonymous

Уж не знаю, что они там наворотили, только OpenSSH 4.2 отказывается работать с новым OpenSSL-0.9.7h

Как обычно: закрываем один баг, создаем пару новых...

anonymous
()
Ответ на: комментарий от anonymous

а как найти используется ли у нас эта опция???? срочно нуна

anonymous
()

Ну вот, теперь патч, который поддержку ГОСТ добавляет, обновлять наверняка.

anonymous
()

это надуманная проблема безопасности.. странно, вроде на лоре тут денег за это не выбьешь, тогда зачем такие новости?

anonymous
()
Ответ на: комментарий от anonymous

А почему надуманная? что проблема не такая серьезнеая????

anonymous
()
Ответ на: комментарий от anonymous

> Это что? Осознанная политика? Неграмотность разработчиков IE? Диверсия?

Думаю, пополам на пополам. С одной строны разгильдяйство, а с другой - возможность, изменив пресет, "значительно повысить защищённость системы". :)

atrus ★★★★★
()

разработчикам опенссл давно пора переседать со своих велосипедов на Tommy.

anonymous
()
Ответ на: комментарий от anonymous

Однажды мне попался сайт, который при включённом в IE TLS 1.0 работал неправильно. Не знаю в чём и где была тогда проблема, но после отключения TLS тот сайт прекрасно работал.

bbk123 ★★★★★
()
Ответ на: комментарий от anonymous

>можно подробней? в чем заключается "OpenSSH 4.2 отказывается работать с новым OpenSSL-0.9.7h" ???

Собрал OpenSSL-0.9.7h с теми же опциями, что и предыдущий OpenSSL-0.9.7g. Обновил на сервере. SSHD (OpenSSH-4.2р1) при установлении соединения падает в корку. Разбираться влом - вернул OpenSSL-0.9.7g. Опять стало нормально.

anonymous
()
Ответ на: комментарий от anonymous

Блин! Идиоты! Слов нету! Ну сколько можно!!

Из листа openssl-users:

Binary compatibility between 0.9.7g and 0.9.7h?

I just tried to upgrade from openssl-0.9.7g to 0.9.7h and noticed that my openssh-4.2p1 server and clients now crash with segfault with the new openssl shared library!

Re-compiling the openssh sources against the new openssl library headers seems to cure the problem, but still this is an unfortunate situation as a lot of other packages depend on the openssl libraries. I don't want to risk system stability by installing security updates...

Is this expected behaviour? I haven't found any obvious hint in the README or CHANGES files...

Все! Ухожу на старый финский SSH. Он, хоть, не зависит от этого глюкавого поделия - openssl.

anonymous
()
Ответ на: комментарий от anonymous

Правда, применение этого патча приводит к:

hmac.c: In function `HMAC_Final':

hmac.c:135: error: `EVP_MAX_MD_SIZE' undeclared (first use in this function)

Зато, сразу видны преймущества open source! Моментально отреагировали на уязвимость - выпустили новую версию. То, что по пути сломали совместимость, это не важно - быстренько выпустили исправляющий патч. То, что после этого патча вовсе перестало собираться, так же не важно - еще патчей навыпускают...

anonymous
()
Ответ на: комментарий от anonymous

>вовсе перестало собираться, так же не важно - еще патчей навыпускают

иди на винфак поплачься

зы. есть же идиоты которые на основе одной программы начинают делать громкие заявления об опенсорс. зыы. поступи как Томми

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.