LINUX.ORG.RU

Найдены две возможности произвести DoS в OpenSSL


0

0

В OpenSSL были найдены и уже исправлены две возможности произвести DoS атаку. Первая уязвимость была обнаружена группой разработчиков OpenSSL при помощи Codenomicon TLS Test Tool. Она заключается в неправильном использовании NULL указателя в do_change_cipher_spec() функции. Вторая уязвимость была обнаружена доктором Стефаном Хенсоном. Она представляет из себя баг в коде, который занимается установлением связи по протоколам SSL/TLS с использованием Kerberos Cipher Suites (RFC 2712). Вторая уязвимость может проявиться лишь при использовании програмного обеспечения использующего Kerberos Cipher Suites. Хотя такое програмное обеспечение встречается редко, не понятно почему недавно вышедшие патчи для FreeBSD и OpenBSD включают исправление только первой уязвимости.

>>> OpenSSL Security Advisory

anonymous

Проверено: ivlad

Всё ясно. openssl и openssh пошли дорогой sendmail и bind. Эх, если бы
не дурацкие ограничения на криптографию, доктор Бернштейн уже давно
бы сделал нормальный аналог, такой же изящный и неуязвимый, как qmail.
Просто удивительно, до чего криво люди умеют писать софт!

anonymous
()

С FreeBSD ситуация прояснилась. Там просто нет поддержки Kerberos Cipher Suites в OpenSSL, и в той, что в base system, и той, что в портах. С OpenBSD ситуация наверно такая же. А вот сайт NetBSD о обеих уязвимостях молчит - http://www.netbsd.org/Security/

anonymous
()

на слаке уже поставляется патченный опенссл, поэтому эта новость 50% юзерам не особо интересна.

ananymous
()
Ответ на: комментарий от anonymous

> А какие сейчас есть ограраничения на криптографию?

Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы,
которую ему запретили опубликовать с открытыми текстами.

anonymous
()
Ответ на: комментарий от anonymous

>Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы, которую ему запретили опубликовать с открытыми текстами.

Если не секрет, что за программа?

anonymous
()

telnet менее уязвим чем ssh etc. ;)

anonymous
()
Ответ на: комментарий от anonymous

Бернштейн - идиот не умеющий программировать.
И ,в добавок, ненавидяший Россию и Русских.
qmail - убогое поделие.

anonymous
()

В связи с новостью пересобирал src rpm на RH 7.1 с патчами. Там после сборки пускается такой тест: openssl-threads-test --threads 100 - явно какой-то редхатовский тест. Так вот этот тест у меня не проходит - вылетает с "CPU time limit exceeded". Мож кто знает в чём причина? Пришлось отключить этот тест, собрал - вроде работает.

abramoff
()
Ответ на: комментарий от anonymous

ну да, теперь тебе осталось указать урл к твоей уникальной разработке - русскому суперстабильному\меганадежному почтовику

anonymous
()
Ответ на: комментарий от dilmah

ИМХО один такой чел как он обязательно нужен в любой программисткой команде.

dilmah ★★★★★
()
Ответ на: комментарий от anonymous

> Если не секрет, что за программа?

Программа называется "snuffle" - generic encription and decryption
program. Дело тянется с 1992-го года. Примерно с этого времени мы могли бы иметь нормальный ssl/ssh, но не имеем ;(

anonymous
()
Ответ на: комментарий от dilmah

> русские его всего лишь конкретно достали

Достать может и телеграфный столб, если задаться целью. А у Бернштейна
такая цель была...

anonymous
()
Ответ на: комментарий от anonymous

> Бернштейн - идиот не умеющий программировать.

Возможно. Тем не менее, лучше него пока никто не программирует ;)
То есть, если он не умеет (а это возможно), то все остальные не имеют
даже отдалённого понятия о программировании.

> И ,в добавок, ненавидяший Россию и Русских.

Как и все сионисты. Ну и что? Глубокая мудрость состоит не в ненависти
к врагам (это почти все умеют), а в использовании их навыков и их
энергии против них же ;)

> qmail - убогое поделие.

Смотри первый абзац. Если qmail - убогое поделие (а это возможно), то
все остальные...

anonymous
()
Ответ на: комментарий от abramoff

ееех. разницу понимаешь между динамической и статической линковкой? если статика то в любом случае прийдется пересобрать, а если динамика то пересборка тебе ничем не помешает. а фишка в том что срц.рпм пихает ссл в левые каталоги, не так как предусмотрено оригиналом. потому многие программы не ограничивающиеся линухом не видят его и приходиться совершать определенное число излишних телодвижений. почитай про elf man dlopen и т.д.

anonymous
()
Ответ на: комментарий от anonymous

Да ладно :-)
Все нормально обновляется:
тащим openssl-0.9.7d.tar.bz2 с родного сайта,
делаем rpmbuild -ts openssl-0.9.7d.tar.bz2,
rpm --rebuild openssl-0.9.7d-1.src.rpm,
rpm -U openssl-0.9.7d*
и все жирно...

spirit ★★★★★
()
Ответ на: комментарий от stephan

> ну типа раскручиваю свой сайт :) демонстрирую возможности Plone

Ой, чего-то не нравится мне этот Plone. Слишком намудрили в некоторых
местах. Надо быть проще!

anonymous
()
Ответ на: комментарий от anonymous

>ееех. разницу понимаешь между динамической и статической линковкой

да понимаю, понимаю...
динамически у меня слинковано конечно. Тут дело в чем: afaik, если прога была слинкована _динамически_ скажем с openssl-0.9.6, а я возьму и 0.9.6 заменю скажем на 0.9.6b - то прога эта у меня не запустится. И уж тем более - если поставлю 0.9.7. У openssl сильно к версии привязано. Вон не случайно в RH в одном дистрибе аж 3 версии этой openssl (для совместимости с софтом из предыдущих версий). Например, в 7.3 идут 0.9.5a, 0.9.6 и 0.9.6b.

abramoff
()

Кстати, чего-то fedoralegacy.org не шевелится... скорей бы уж... а то надоело самому компилить :)

abramoff
()
Ответ на: комментарий от stephan

Ты лишь демонстрируешь свою глупость и невежество.

anonymous
()
Ответ на: комментарий от abramoff

> заменю скажем на 0.9.6b - то прога эта у меня не запустится

Говори точнее: не какая-то абстрактная прога, а конкретно openssh.
Ну так для этого случая есть патчик малюсенький, который убирает
проверку на версию openssl. Эта проверка не оправдана и идеологически
не верна. Библиотека в пределах одной major-версии должна быть
совместима сама с собой. Это стандарт.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.