Представлены (http://marc.info/?l=openssl-announce&m=128993064807738&w=2) корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8p и 1.0.0b (http://www.openssl.org/) с устранением опасной уязвимости (http://marc.info/?l=openssl-announce&m=128992699401945&w=2), которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере.
Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (http://ru.wikipedia.org/wiki/%D0%A1%D0%B... (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel).URL: http://marc.info/?l=openssl-announce&m=128993064807738&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=28683
Не силён в OpenSSL'е - что такое внутренний кеш? У courier-imap есть некий кеш(TLS_CACHEFILE) - это оно?
курьер не многопоточен - так что ему пофиг
> курьер не многопоточен - так что ему пофигВот так и перебирай по одной программе. Написали бы список хотя бы известных программ.
>> курьер не многопоточен - так что ему пофиг
> Вот так и перебирай по одной программе. Написали бы список хотя бы
> известных программ.apt-cache rdepends libssl0.9.8
выводит почти 700 пакетов.
>>> курьер не многопоточен - так что ему пофиг
>> Вот так и перебирай по одной программе. Написали бы список хотя бы
>> известных программ.
> apt-cache rdepends libssl0.9.8
> выводит почти 700 пакетов.И многие из них многопоточны?
в генту уже пришло обновление
не только обновление, но и openssl-1.0.0b-r1 патченый добавили http://packages.gentoo.org/package/dev-libs/openssl
Так спешили с исправлением, что наделали новых ошибок
http://cvs.openssl.org/chngview?cn=19998
OpenVPN тоже подвержен уязвимости?
надеюсь что sshd не использует внутренний кеш openssl'a ? иначе будет как с telnetd ситуация
openssh не многопоточный.
apt-cache rdepends openssl|wc
87openvpn вроде многопоточный, интересно уязвим он или нет.
ничего подобного. Нет даже намека на многопоточность:
% ldd /usr/local/sbin/openvpn
/usr/local/sbin/openvpn:
libssl.so.6 => /usr/lib/libssl.so.6 (0x28100000)
libcrypto.so.6 => /lib/libcrypto.so.6 (0x28148000)
liblzo2.so.2 => /usr/local/lib/liblzo2.so.2 (0x282a4000)
libc.so.7 => /lib/libc.so.7 (0x282c3000)Это 2.1.3.
$ ldd /usr/sbin/openvpn
linux-gate.so.1 => (0xb76fd000)
libpkcs11-helper.so.1 => /usr/lib/libpkcs11-helper.so.1 (0xb76e0000)
libssl.so.0.9.8 => /usr/lib/i586/libssl.so.0.9.8 (0xb769e000)
libcrypto.so.0.9.8 => /usr/lib/i586/libcrypto.so.0.9.8 (0xb755e000)
liblzo2.so.2 => /usr/lib/liblzo2.so.2 (0xb753e000)
libdl.so.2 => /lib/libdl.so.2 (0xb753a000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7522000)
libc.so.6 => /lib/libc.so.6 (0xb73e4000)
libz.so.1 => /usr/lib/libz.so.1 (0xb73cf000)
/lib/ld-linux.so.2 (0xb76fe000)
$ /usr/sbin/openvpn --version
OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Developed by James Yonan
Copyright (C) 2002-2008 Telethra, Inc. <sales@openvpn.net>(Debian Stable)
Да, забавно. На фре собирается без USE_PTHREAD.
так если смотреть и exim не подвержен, и php5 не подвержен, и perl собранный без тредов...
выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было на них ориентироваться и решить обновляться и подхватывать свежие баги или подождать еще.
> так если смотреть и exim не подвержен, и php5 не подвержен, и
> perl собранный без тредов...
> выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было
> на них ориентироваться и решить обновляться и подхватывать свежие баги или
> подождать еще.Да уж, "огласите весь список, пжалста". А то непонятно, кто конкретно подвержен уязвимости.
Обновляться не спешу. Потому, что я вообще никогда не спешу обновляться и вообщем то не обновляюсь никогда. но в данном случае настораживает OpenVPN, т.к. его я изначально поднимал для обеспечения безопасности. Кто узнает подвержен ли он уязвимости, будьте добры, отпишите.
В Ubuntu уже пришло обновление
https://launchpad.net/ubuntu/+source/openssl/0.9.8o-1ubuntu4...
А в Arch Linux обновление пришло еще вчера (с патчем): http://www.archlinux.org/packages/core/x86_64/openssl/
А под фряху нет? Че-то я очкую.
OpenSSH как я понимаю не дыряв