URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 101796
[ Назад ]
Исходное сообщение
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено opennews , 19-Мрт-15 20:13 
Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf в которых устранено 14 уязвимостей (https://www.openssl.org/news/secadv_20150319.txt), из которых двум присвоен высокий уровень опасности, 9 отнесены к умеренному уровню опасности, а 3 помечены как неопасные. Первая из опасных проблем (CVE-2015-0204) затрагивает ветки 1.0.1, 1.0.0 и 0.9.8 и закрывает на стороне клиента возможность совершения недавно анонсированной (http://www.opennet.me/opennews/art.shtml?num=41782) атаки FREAK, позволяющей сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика.


Вторая опасная уязвимость (CVE-2015-0291) проявляется только в ветке 1.0.2 и может привести к разыменованию указателя NULL и краху серверного приложения при  передаче клиентом в процессе установки соединения специально оформленных значений ClientHello. Уязвимости с умеренной степенью опасности могут привести к краху использующих openssl процессов при передаче специально оформленных некорректных данных.

URL: https://www.openssl.org/news/
Новость: http://www.opennet.me/opennews/art.shtml?num=41873

Содержание
Сообщения в этом обсуждении
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено бедный буратино , 19-Мрт-15 20:13 
мамка, буквы кончаются, пора переходить на китайские!
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Stax , 19-Мрт-15 20:20 
Ну почему же. Можно как имена дисков - после sdz используется sdaa, sdab и так далее.
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 19-Мрт-15 20:59 
>  14 уязвимостей,

Большому кораблю - большая торпеда!

"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Michael Shigorin , 19-Мрт-15 23:23 
А ещё там reindent местами...
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 08:43 
В LibreSSL эти уязвимости не присутствуют? А то Theo жаловался, что его никто не из команды OpenSSL уведомлять не собирается.
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 08:44 
s/никто не из/никто из/
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 12:11 
А это разве не те самые уязвимости, которые команда либре нашла и угрожала обубликовать?
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 12:29 
http://marc.info/?l=openbsd-misc&m=142654095813320&w=2
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 21:18 
Вскоре в OpenSSL связались. Часть уязвимостей к LibreSSL не относится, остальное вошло в уже вышедший релиз 2.1.6.
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 23-Мрт-15 19:52 
> Часть уязвимостей к LibreSSL не относится, остальное вошло в уже вышедший релиз 2.1.6.

Как всегда, темнят.

"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Anonymous528 , 20-Мрт-15 12:53 
Странна что в Дебиане, даже в Джесси все еще OpenSSL 1.0.1k 8 Jan 2015
"Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устран..."
Отправлено Аноним , 20-Мрт-15 13:18 
В Дебиане часто накладывают патчи безопасности на старые версии, вместо апгрейда всего пакета на новую версию.