URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106508
[ Назад ]

Исходное сообщение
"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено opennews , 28-Янв-16 21:42

Доступны корректирующие выпуски OpenSSL 1.0.1r (https://mta.openssl.org/pipermail/openssl-announce/2016-Janu...) и 1.0.2f (https://mta.openssl.org/pipermail/openssl-announce/2016-Janu...), содержащие исправления уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-Janu...).

Первая уязвимость (CVE-2016-0701 (https://www.openssl.org/news/vulnerabilities.html#2016-0701)) отнесена к категории опасных проблем и проявляется только в ветке 1.0.2. Суть проблемы в использовании предсказуемых начальных простых чисел при генерации для алгоритма Диффи—Хеллмана (Diffie-Hellman) параметров в формате X9.42. Уязвимость позволяет атакующему использовать предварительно захваченные закрытые ключи, связанные с известными простыми числами, знание которых позволяет в дальнейшем с минимальными усилиями вскрыть зашифрованные соединения, при установлении которых были использованы эти простые числа. Вторая уязвимость (CVE-2015-3197 (https://www.openssl.org/news/vulnerabilities.html#2015-3197)) отнесена к категории незначительных и связана с отсутствием блокировки отключенных шифров при использовании устаревшего SSLv2.

URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Janu...
Новость: http://www.opennet.me/opennews/art.shtml?num=43777

Содержание

Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,Michael Shigorin, 21:42 , 28-Янв-16
- Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,Аноним, 02:50 , 29-Янв-16
Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,lv7e, 23:00 , 28-Янв-16
- Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,CHERTS, 08:54 , 29-Янв-16
  - Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,Анонимус2, 12:02 , 29-Янв-16
    - Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,Аноним, 06:17 , 30-Янв-16
  - Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,lv7e, 22:59 , 29-Янв-16
Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,Аноним, 12:24 , 30-Янв-16
Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей,iZEN, 13:51 , 30-Янв-16

Сообщения в этом обсуждении

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено Michael Shigorin , 28-Янв-16 21:42

http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/cha...

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено Аноним , 29-Янв-16 02:50

Ваш персональный дистрибутив для одного пользователя?

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено lv7e , 28-Янв-16 23:00

Без паники. Для того, чтобы эксплуатировать CVE-2016-0701 у вас должны увести приватные ключи.

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено CHERTS , 29-Янв-16 08:54

Если у меня увели приватные ключи, то можно расшифровывать трафик и делать что угодно, в чем тогда смысл эксплуатации уязвимости?

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено Анонимус2 , 29-Янв-16 12:02

man PFS

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено Аноним , 30-Янв-16 06:17

Спасибо удалил PFS!!!!!!!!!

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено lv7e , 29-Янв-16 22:59

Большинство SSL соединений используют DH для того, чтобы нельзя было даже украв приватные ключи и имея копию зашифрованного трафика этот самый трафик постфактум расшифровать. Эта уязвимость позволяет определить использованные параметры DH и всё-таки расшифровать дамп трафика украденными ключами.

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено Аноним , 30-Янв-16 12:24

пользующиеся OpenSSL вместо LibreSSL - ССЗБ.

"Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей"
Отправлено iZEN , 30-Янв-16 13:51

OpenSSL 1.0.1r в FreeBSD stable/10: https://svnweb.freebsd.org/base?view=revision&sortby=date&re...