URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 72569
[ Назад ]

Исходное сообщение
"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."

Отправлено opennews , 17-Ноя-10 11:58 
Представлены (http://marc.info/?l=openssl-announce&m=128993064807738&w=2) корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8p и 1.0.0b (http://www.openssl.org/) с устранением опасной уязвимости (http://marc.info/?l=openssl-announce&m=128992699401945&w=2), которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере.


Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (http://ru.wikipedia.org/wiki/%D0%A1%D0%B... (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel).

URL: http://marc.info/?l=openssl-announce&m=128993064807738&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=28683


Содержание

Сообщения в этом обсуждении
"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено zazik , 17-Ноя-10 11:58 
Не силён в OpenSSL'е - что такое внутренний кеш? У courier-imap есть некий кеш(TLS_CACHEFILE) - это оно?

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено samm , 18-Ноя-10 02:07 
курьер не многопоточен - так что ему пофиг

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено zazik , 18-Ноя-10 10:16 
> курьер не многопоточен - так что ему пофиг

Вот так и перебирай по одной программе. Написали бы список хотя бы известных программ.


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено uldus , 18-Ноя-10 12:04 
>> курьер не многопоточен - так что ему пофиг
> Вот так и перебирай по одной программе. Написали бы список хотя бы
> известных программ.

apt-cache rdepends libssl0.9.8
выводит почти 700 пакетов.


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено zazik , 18-Ноя-10 13:01 
>>> курьер не многопоточен - так что ему пофиг
>> Вот так и перебирай по одной программе. Написали бы список хотя бы
>> известных программ.
> apt-cache rdepends libssl0.9.8
> выводит почти 700 пакетов.

И многие из них многопоточны?


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено daemonpnz , 17-Ноя-10 12:03 
в генту уже пришло обновление

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено esc , 17-Ноя-10 16:22 
не только обновление, но и openssl-1.0.0b-r1 патченый добавили http://packages.gentoo.org/package/dev-libs/openssl

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено cvsup , 17-Ноя-10 12:18 
Так спешили с исправлением, что наделали новых ошибок
http://cvs.openssl.org/chngview?cn=19998

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 17-Ноя-10 13:26 
OpenVPN тоже подвержен уязвимости?

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Sylvia , 17-Ноя-10 13:44 
надеюсь что sshd не использует внутренний кеш openssl'a ? иначе будет как с telnetd ситуация

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 17-Ноя-10 13:52 
openssh не многопоточный.

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 17-Ноя-10 13:59 
apt-cache rdepends openssl|wc
87

openvpn вроде многопоточный, интересно уязвим он или нет.


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Sem , 17-Ноя-10 15:28 
ничего подобного. Нет даже намека на многопоточность:
% ldd /usr/local/sbin/openvpn
/usr/local/sbin/openvpn:
        libssl.so.6 => /usr/lib/libssl.so.6 (0x28100000)
        libcrypto.so.6 => /lib/libcrypto.so.6 (0x28148000)
        liblzo2.so.2 => /usr/local/lib/liblzo2.so.2 (0x282a4000)
        libc.so.7 => /lib/libc.so.7 (0x282c3000)

Это 2.1.3.


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено non anon , 17-Ноя-10 15:41 
$ ldd /usr/sbin/openvpn
        linux-gate.so.1 =>  (0xb76fd000)
        libpkcs11-helper.so.1 => /usr/lib/libpkcs11-helper.so.1 (0xb76e0000)
        libssl.so.0.9.8 => /usr/lib/i586/libssl.so.0.9.8 (0xb769e000)
        libcrypto.so.0.9.8 => /usr/lib/i586/libcrypto.so.0.9.8 (0xb755e000)
        liblzo2.so.2 => /usr/lib/liblzo2.so.2 (0xb753e000)
        libdl.so.2 => /lib/libdl.so.2 (0xb753a000)
        libpthread.so.0 => /lib/libpthread.so.0 (0xb7522000)
        libc.so.6 => /lib/libc.so.6 (0xb73e4000)
        libz.so.1 => /usr/lib/libz.so.1 (0xb73cf000)
        /lib/ld-linux.so.2 (0xb76fe000)
$ /usr/sbin/openvpn --version
OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Developed by James Yonan
Copyright (C) 2002-2008 Telethra, Inc. <sales@openvpn.net>

(Debian Stable)


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Sem , 17-Ноя-10 15:57 
Да, забавно. На фре собирается без USE_PTHREAD.

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 17-Ноя-10 17:42 
так если смотреть и exim не подвержен, и php5 не подвержен, и perl собранный без тредов...
выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было на них ориентироваться и решить обновляться и подхватывать свежие баги или подождать еще.

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено zazik , 18-Ноя-10 09:42 
> так если смотреть и exim не подвержен, и php5 не подвержен, и
> perl собранный без тредов...
> выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было
> на них ориентироваться и решить обновляться и подхватывать свежие баги или
> подождать еще.

Да уж, "огласите весь список, пжалста". А то непонятно, кто конкретно подвержен уязвимости.


"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Гиперактивный Троль ака Аноним , 17-Ноя-10 14:07 
Обновляться не спешу. Потому, что я вообще никогда не спешу обновляться и вообщем то не обновляюсь никогда. но в данном случае настораживает OpenVPN, т.к. его я изначально поднимал для обеспечения безопасности. Кто узнает подвержен ли он уязвимости, будьте добры, отпишите.

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 18-Ноя-10 06:20 
В Ubuntu уже пришло обновление
https://launchpad.net/ubuntu/+source/openssl/0.9.8o-1ubuntu4...

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 18-Ноя-10 10:37 
А в Arch Linux обновление пришло еще вчера (с патчем): http://www.archlinux.org/packages/core/x86_64/openssl/

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Vladimir , 19-Ноя-10 15:43 
А под фряху нет? Че-то я очкую.

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Отправлено Аноним , 21-Ноя-10 05:42 
OpenSSH как я понимаю не дыряв