Релиз OpenSSL 0.9.8n с исправлением уязвимости Record of Death

0

0

Bodo Moeller and Adam Langley из Google обнаружили и исправили уязвимость в OpenSSL, приводящую к краху сервера или клиента в случае использования некорректных пакетов в TLS соединениях.

Уязвимости подвержены OpenSSL 0.9.8m и, в зависимости от компилятора (если short = 16 bit int), OpenSSL 0.9.8f - 0.9.8m.

>>> Подробности

Ссылка

←	Применение Expect в администрировании системы Linux: Часть 3.Практическое применение Expect в сетевом администрировании

Крупнейшая Азиатская биржа перешла на инфраструктуру на базе RHEL

→

Решето!

lem8r
(25.03.10 15:02:40 MSK)

Ссылка

Значит остаемся на gnutls.

shahid ★★★★★
(25.03.10 15:04:20 MSK)

>Record of Death

прямо название для ужастика

registrant ★★★★★
(25.03.10 15:24:17 MSK)

Ответ на: комментарий от registrant 25.03.10 15:24:17 MSK

ну был ping of death
http://www.linux.org.ru/search.jsp?q=ping+of+death&include=all&date=year&sect...

это назвали аналогично)

Sylvia ★★★★★
(25.03.10 15:26:50 MSK) автор топика

Ответ на: комментарий от shahid 25.03.10 15:04:20 MSK

угу. к сожалению, gnutls не позволяет полностью избавиться от openssl.

azure ★★
(25.03.10 15:29:25 MSK)

Ссылка

опенсорс сеет смерть!

boo32 ★
(25.03.10 15:39:13 MSK)

Ответ на: комментарий от Sylvia 25.03.10 15:26:50 MSK

>ну был ping of death

как-то даже мимо меня прошло. я думал, ping of death - предания старины суровой

registrant ★★★★★
(25.03.10 15:50:00 MSK)

Ответ на: комментарий от boo32 25.03.10 15:39:13 MSK

Причём, смерть через мумбу-юмбу.

queen3 ★★★★★
(25.03.10 15:50:35 MSK)

Ссылка

Ответ на: комментарий от registrant 25.03.10 15:50:00 MSK

icmp > 1024 bytes - да,
но его недавно «реинкарнировали» в названии )

Sylvia ★★★★★
(25.03.10 16:02:26 MSK) автор топика

Ссылка

Задрали они уже

Boy_from_Jungle ★★★★
(25.03.10 16:37:40 MSK)

Ссылка

Кто знает что отличается g, f и m?!

Boy_from_Jungle ★★★★
(25.03.10 16:38:37 MSK)

Ответ на: комментарий от Boy_from_Jungle 25.03.10 16:38:37 MSK

патчами )
http://openssl.org/news/

смотрите ссылочки на security advisory

да, по поводу 0.9.8g (Debian и другие) там обычно просто накладывают патчи для устранения уязвимости, номер версии при этом не изменяется , делается это потому, что некоторые программы (мне такие давно не попадались, но раньше к их числу относились все, включая openssh) вкомпиливают в себя номер версии openssl и отказываются запуститься

Sylvia ★★★★★
(25.03.10 16:42:30 MSK) автор топика

Ссылка

Ответ на: комментарий от Boy_from_Jungle 25.03.10 16:38:37 MSK

> Кто знает что отличается g, f и m?!

<petrosyan_lurkfucker>ФГМ отличается поражением коры и древесины головного мозга.</petrosyan_lurkfucker>

boo32 ★
(25.03.10 16:44:10 MSK)

обновил пакет в ауре. благодаря лору пять пользователей пакета выжило.

boo32 ★
(25.03.10 16:57:06 MSK)

Ссылка

Поздно!
$ openssl version
OpenSSL 1.0.0-beta5 20 Jan 2010

ГОСТы-ГОСТы...

~~Lumi~~ ★★★★★
(25.03.10 17:01:53 MSK)

Ссылка

Ответ на: комментарий от boo32 25.03.10 16:44:10 MSK

да ты упоротый оказывается

Boy_from_Jungle ★★★★
(25.03.10 21:04:09 MSK)

Ответ на: комментарий от Boy_from_Jungle 25.03.10 21:04:09 MSK

не часто :).

boo32 ★
(25.03.10 21:10:49 MSK)

Ссылка

this issue applies to OpenSSL 0.9.8f through 0.9.8m.

[nnz@nehalem ~]$ openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

/me злорадствует :)

nnz ★★★★
(25.03.10 22:15:16 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Применение Expect в администрировании системы Linux: Часть 3.Практическое применение Expect в сетевом администрировании

Безопасность

Крупнейшая Азиатская биржа перешла на инфраструктуру на базе RHEL

→

Похожие темы