URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42416
[ Назад ]

Исходное сообщение
"OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL"
Отправлено opennews , 17-Июн-08 20:53

Исследование (http://news.netcraft.com/SSL-survey), проведенное компанией Netcraft в июне выявило значительное количество SSL сертификатов, на которые наложила отпечаток недавно обнаруженная уязвимость (http://www.opennet.me/opennews/art.shtml?num=15846) в пакете Debian OpenSSL. Не остались в стороне ни Extended Validation SSL сертификаты, ни сертификаты, принадлежащие банкам.
Пораженные сертификаты позволяют злоумышленникам создавать сайты, которые используют имитации легитимных сертификатов. В случае EV сертификатов, при входе на такой сайт его адрес будет подсвечен зеленым, даже если использован клонированный сертификат.
С точки зрения взломщика, основная трудность заключается в подавлении сообщения браузера о том, что адрес сайта в сертификате не совпадает с адресом, который вводит пользователь. В этом случае взломщику необходимо как-то подделать результат DNS-запроса или завладеть ресурсами локальной сети пользователя.
13 мая Debian выпустил предупреждение, сообщающее об уя...
URL: http://news.netcraft.com/archives/2008/06/12/ssl_certificate...
Новость: http://www.opennet.me/opennews/art.shtml?num=16523

Содержание

Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL,belkin, 20:53 , 17-Июн-08
- Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,prapor, 02:58 , 18-Июн-08
  - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,Michael Shigorin, 11:55 , 18-Июн-08
    - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,User294, 12:02 , 18-Июн-08
      - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,pavel_simple, 12:12 , 18-Июн-08
      - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,favourite, 06:55 , 19-Июн-08
Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL,curufinwe, 21:14 , 17-Июн-08
- Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,Аноним, 22:08 , 17-Июн-08
  - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,crypt, 00:21 , 18-Июн-08
    - Компрометация SSL сертификатов из-за уязвимости, обнаруженно...,spamtrap, 10:16 , 18-Июн-08

Сообщения в этом обсуждении

"Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL"
Отправлено belkin , 17-Июн-08 20:53

Debian'овцы самые умные в чужом софте ковыряться? Мрак.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено prapor , 18-Июн-08 02:58

Нет, это разработчики OpenSSL самые умные, чтобы отклонить патч не пояснив почему он не корректен. Мейнтейнеры просто посчитали что нашли ошибку и исправили.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено Michael Shigorin , 18-Июн-08 11:55

Нет, это таки дебиановцы самые умные -- забыли правило don't fix what ain't broke и решили, что умней апстрима.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено User294 , 18-Июн-08 12:02

>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what
>ain't broke и решили, что умней апстрима.
Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd 1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - Д`Артаньян".

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено pavel_simple , 18-Июн-08 12:12

>>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what
>>ain't broke и решили, что умней апстрима.
>
>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают
>lighttpd 1.4.13 версии с секурити фиксами в то время как все
>вменяемые люди юзают .18 давно.Может конечно они самые умные и за
>стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще
>куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге
>дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я -
>Д`Артаньян".
на вкус и цвет....
а вообще РЫБЯТЫ -- долго мы будем ещё это обсуждать? -- всё ведь просто "Не ошибается тот, кто ничего не делает". Да есть косяк, зато его очень быстро починили и предоставили в кратчайший срок инструменты для исправления/тестирования пользователям.
Забыть уж давно пора... ан нет ... Debian то, Debian сё... а главный вопрос заключается в том что "Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутствии подобных ошибок в нём?"

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено favourite , 19-Июн-08 06:55

>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd
>1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может
>конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже,
>википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге
>дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я -
>Д`Артаньян".
Если честно, сильно бесит когда трындят на форуме о чём не знают!
Позиция дебианщиков (почитай дебиан-полиси) в данном случае не в том, что .18 нестабильная
версия, а в том что в stable принципиально не меняется версия. Ибо в апстриме может , к примеру, формат сонфигурационного файла измениться или название каких либо опций и тп. В этом случае после aptitude update && aptitude upgrade получаем ситуацию в которой " вчера всё работало, проапдейтился - работать перестало!"
С другой стороны. Предположим, я год назад настроил тот же lighttpd v1.4.13 так, как мне нужно. С какого перепугу нужно апгрейдить на новую версию? Секюрити тим выпускает исправления безопасности, а для остального в силе принцип "работает -не трожь!"
Если же мне нужны какие-то фичи, реализованные в более новой версии - можно сбэкпортить практически любой пакет за пять минут ( на крайняк взять готовый на backports.org)
При этом я явно беру на себя все заботы по безопасности этого пакета на себя.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL"
Отправлено curufinwe , 17-Июн-08 21:14

баян

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено Аноним , 17-Июн-08 22:08

>баян
Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на Debian серверах. Это не баян, а п%&^#$.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено crypt , 18-Июн-08 00:21

>>баян
>
>Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на
>Debian серверах. Это не баян, а п%&^#$.
Обычно клиент сам генерирует пару ключей, замем открытый ключ в виде запроса на сертификат отправляет в СА где ему выпускают и продают сертификат.
В данном случае "попали" клиенты, которые генерировали пары ключей для своих сайтов у себя, с использованием кривого OpenSSL.
"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.

"Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
Отправлено spamtrap , 18-Июн-08 10:16

>"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.
та это понятно, никто вроде и не спорит