Найдены две возможности произвести DoS в OpenSSL

DSA-465-1

Всё ясно. openssl и openssh пошли дорогой sendmail и bind. Эх, если бы
не дурацкие ограничения на криптографию, доктор Бернштейн уже давно
бы сделал нормальный аналог, такой же изящный и неуязвимый, как qmail.
Просто удивительно, до чего криво люди умеют писать софт!

С FreeBSD ситуация прояснилась. Там просто нет поддержки Kerberos Cipher Suites в OpenSSL, и в той, что в base system, и той, что в портах. С OpenBSD ситуация наверно такая же. А вот сайт NetBSD о обеих уязвимостях молчит - http://www.netbsd.org/Security/

А какие сейчас есть ограраничения на криптографию?

на слаке уже поставляется патченный опенссл, поэтому эта новость 50% юзерам не особо интересна.

> А какие сейчас есть ограраничения на криптографию?

Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы,
которую ему запретили опубликовать с открытыми текстами.

>Бернштейн уже лет пять судится с госдепом из-за малюсенькой программы, которую ему запретили опубликовать с открытыми текстами.

Если не секрет, что за программа?

Lyapix R.I.P. ;))

telnet менее уязвим чем ssh etc. ;)

Бернштейн - идиот не умеющий программировать.
И ,в добавок, ненавидяший Россию и Русских.
qmail - убогое поделие.

> И ,в добавок, ненавидяший Россию и Русских.

Откуда такая информация?

В связи с новостью пересобирал src rpm на RH 7.1 с патчами. Там после сборки пускается такой тест: openssl-threads-test --threads 100 - явно какой-то редхатовский тест. Так вот этот тест у меня не проходит - вылетает с "CPU time limit exceeded". Мож кто знает в чём причина? Пришлось отключить этот тест, собрал - вроде работает.

ну да, теперь тебе осталось указать урл к твоей уникальной разработке - русскому суперстабильному\меганадежному почтовику

openssl лучше не из src.rpm а из tar.gz собирать. намного меньше гимороя

Что, типа свежий tar.gz взять? А потом ещё весь софт слинкованный пересобрать? Нет уж, спасибо.

> > И ,в добавок, ненавидяший Россию и Русских. > Откуда такая информация?

русские его всего лишь конкретно достали http://cr.yp.to/conferences/russia.html

ИМХО один такой чел как он обязательно нужен в любой программисткой команде.

> Если не секрет, что за программа?

Программа называется "snuffle" - generic encription and decryption
program. Дело тянется с 1992-го года. Примерно с этого времени мы могли бы иметь нормальный ssl/ssh, но не имеем ;(

> русские его всего лишь конкретно достали

Достать может и телеграфный столб, если задаться целью. А у Бернштейна
такая цель была...

> Бернштейн - идиот не умеющий программировать.

Возможно. Тем не менее, лучше него пока никто не программирует ;)
То есть, если он не умеет (а это возможно), то все остальные не имеют
даже отдалённого понятия о программировании.

> И ,в добавок, ненавидяший Россию и Русских.

Как и все сионисты. Ну и что? Глубокая мудрость состоит не в ненависти
к врагам (это почти все умеют), а в использовании их навыков и их
энергии против них же ;)

> qmail - убогое поделие.

Смотри первый абзац. Если qmail - убогое поделие (а это возможно), то
все остальные...

про сионистов можно прочитать вот здесь http://stephan.pp.ru/jews/Folder.2004-03-18.2527568642/ а про использование ненависти врага вот тут http://stephan.pp.ru/aryan/liftup сайт на plone.

Ты к чему эти ссылки дал? Вещи очевидные и всем известные.

ну типа раскручиваю свой сайт :) демонстрирую возможности Plone

ееех. разницу понимаешь между динамической и статической линковкой? если статика то в любом случае прийдется пересобрать, а если динамика то пересборка тебе ничем не помешает. а фишка в том что срц.рпм пихает ссл в левые каталоги, не так как предусмотрено оригиналом. потому многие программы не ограничивающиеся линухом не видят его и приходиться совершать определенное число излишних телодвижений. почитай про elf man dlopen и т.д.

Да ладно :-)
Все нормально обновляется:
тащим openssl-0.9.7d.tar.bz2 с родного сайта,
делаем rpmbuild -ts openssl-0.9.7d.tar.bz2,
rpm --rebuild openssl-0.9.7d-1.src.rpm,
rpm -U openssl-0.9.7d*
и все жирно...

> ну типа раскручиваю свой сайт :) демонстрирую возможности Plone

Ой, чего-то не нравится мне этот Plone. Слишком намудрили в некоторых
местах. Надо быть проще!

>ееех. разницу понимаешь между динамической и статической линковкой

да понимаю, понимаю...
динамически у меня слинковано конечно. Тут дело в чем: afaik, если прога была слинкована _динамически_ скажем с openssl-0.9.6, а я возьму и 0.9.6 заменю скажем на 0.9.6b - то прога эта у меня не запустится. И уж тем более - если поставлю 0.9.7. У openssl сильно к версии привязано. Вон не случайно в RH в одном дистрибе аж 3 версии этой openssl (для совместимости с софтом из предыдущих версий). Например, в 7.3 идут 0.9.5a, 0.9.6 и 0.9.6b.

Кстати, чего-то fedoralegacy.org не шевелится... скорей бы уж... а то надоело самому компилить :)

Ты лишь демонстрируешь свою глупость и невежество.

> заменю скажем на 0.9.6b - то прога эта у меня не запустится

Говори точнее: не какая-то абстрактная прога, а конкретно openssh.
Ну так для этого случая есть патчик малюсенький, который убирает
проверку на версию openssl. Эта проверка не оправдана и идеологически
не верна. Библиотека в пределах одной major-версии должна быть
совместима сама с собой. Это стандарт.