URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 84183
[ Назад ]

Исходное сообщение
"Критическая уязвимость в OpenSSL"

Отправлено opennews , 19-Апр-12 21:56 
В экстренном порядке выпущены (http://openssl.org) корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость (http://openssl.org/news/secadv_20120419.txt), которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

Проблема выявлена (http://seclists.org/fulldisclosure/2012/Apr/210) группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL.  На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux (http://www.mandriva.com/en/support/security/advisories/?dis=...), проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах:  FreeBSD (http://www.vuxml.org/freebsd/), Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2.../), Gentoo (http://www.gentoo.org/security/), Slackware (http://www.slackware.com/security/list.php?l=slackware-secur...), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2012-04/), CentOS (http://lists.centos.org/pipermail/centos-announce/2012-April...), Scientific Linux (http://listserv.fnal.gov/scripts/wa.exe?A1=ind1204&L=scienti...), Fedora (https://admin.fedoraproject.org/updates/F16/security), RHEL (http://rhn.redhat.com/errata/rhel-server-errata.html) и Debian (http://www.debian.org/security/).


Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически (http://seclists.org/fulldisclosure/2012/Apr/210) эксплуатация уязвимости возможна только на 64-разрядных системах.


Опасность эксплуатации отмечается для приложений, использующих для разбора MIME-блоков функции SMIME_read_PKCS7 и SMIME_read_CMS, а также любые другие функции, связанные с декодированием DER-блоков через функции на базе BIO (d2i_*_bio) и FILE (d2i_*_fp), например, 2i_X509_bio или d2i_PKCS12_fp. В частности, уязвимости подвержена штатная утилита коммандной строки из состава OpenSSL, которая может быть эксплуатирована при обработке данных в формате DER. Приложения, использующие только процедуры PEM или функции ASN1 (d2i_X509, d2i_PKCS12 и т.п.) не подвержены данной уязвимости. Код, связанный с SSL и TLS, проблеме не подвержен, тем не менее следует обратить внимание, не используют ли приложения кроме SSL/TLS проблемных функций, подобных d2i_X509_bio.

URL: http://marc.info/?l=openssl-announce&m=133484172912216&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=33644


Содержание

Сообщения в этом обсуждении
"Критическая уязвимость в OpenSSL"
Отправлено Толя Вихров , 19-Апр-12 21:56 
В арче уже обновился (не тестинг) :)

"Критическая уязвимость в OpenSSL"
Отправлено Michael Shigorin , 21-Апр-12 16:53 
Build Date: Fri Apr 20 00:51:33 2012
Source RPM: openssl10-1.0.0i-alt1.src.rpm

"Критическая уязвимость в OpenSSL"
Отправлено G.NercY.uR , 19-Апр-12 21:56 
Жестачина то какая! Что ни месяц то жуткие дыры которые надо в срочном порядке и на всех подведомственных серваках латать!
Чем больше ИТ-технологии вплетаются в жизнь, тем мне как ИТ-шнику страшней от мыслей как же в один прекрасный момент может быть страшно от какого-нибудь ИТ-апокалипсиса.

"Критическая уязвимость в OpenSSL"
Отправлено umbr , 19-Апр-12 22:18 
Наоборот, радоваться надо тому что находят и фиксят.
Будто этих дыр раньше не было или о них вообще никто не знал.

"Критическая уязвимость в OpenSSL"
Отправлено дон педро , 22-Апр-12 21:43 
Этой дыре минимум 6 лет.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 19-Апр-12 22:47 
ну не такая уж и дикая

> Код, связанный с SSL и TLS, проблеме не подвержен


"Критическая уязвимость в OpenSSL"
Отправлено Dron , 19-Апр-12 23:03 
DER используется для кодирования сертификатов.
Сайт вполне может подсунуть броузеру специальный сертификат.

Вообще OpenSSL - жуткий отстой... в коде бардак.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 00:39 
> Вообще OpenSSL - жуткий отстой... в коде бардак.

Это вообще фирменный стиль дочерних проектов OpenBSD.
Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 09:25 
> Это вообще фирменный стиль дочерних проектов OpenBSD.
> Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.

Вы путайте OpenSSH и OpenSSL, OpenSSL имеет общее с OpenBSD только слово Open в названии. OpenSSL - это форк SSLeay.


"Критическая уязвимость в OpenSSL"
Отправлено Куяврик , 20-Апр-12 10:50 
вы не понимаете. проблема не в Open, проблема в BSD. "профессионалу" из предыдущего поста очень хочется лягнуть OpenBSD, что он и делает. правда "профессионал" прилюдно покрасил штаны в коричневый, но походу это его не смутило.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 11:38 
> "профессионал" прилюдно покрасил штаны в коричневый,

Это вы наверное о себе. Потому что "профессионалы" от бсдов обычно много о себе мнят но по факту умеют много меньше а громкий пиар оказывается несколько преувеличен по сравнению с серыми буднями.


"Критическая уязвимость в OpenSSL"
Отправлено AdVv , 20-Апр-12 12:25 
http://nuclight.livejournal.com/129457.html

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 12:56 
> http://nuclight.livejournal.com/129457.html

Ахх... нуклайт? Эталонный разработчик BSD. Способный сделать так что вокруг проекта умрет все живое, клавший на всех и вся кроме своего немеряного ЧСВ. А излишнее ЧСВ почему-то всегда играет с его обладателем дурную шутку.


"Критическая уязвимость в OpenSSL"
Отправлено AdVv , 20-Апр-12 13:09 
>> http://nuclight.livejournal.com/129457.html
> Ахх... нуклайт? Эталонный разработчик BSD. Способный сделать так что вокруг проекта умрет
> все живое, клавший на всех и вся кроме своего немеряного ЧСВ.
> А излишнее ЧСВ почему-то всегда играет с его обладателем дурную шутку.

Ну в отличии от тебя он имеет смелость подписаться под своим мнением, а уровень его технических статей вызывает как минимум уважение.
И да, он оказался в топ10 Yandex root, а твое резюме можно увидеть ?


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:36 
> Ну в отличии от тебя он имеет смелость подписаться под своим мнением,
> а уровень его технических статей вызывает как минимум уважение.

Я рад за него. Как специалист он хоть и одиозен/предвзят но иногда может и дельно каркнуть даже. А как человек - даже не знаю как это культурно сказать. Прикол состоит в том что в крупных проектах как-то так оказывается что один в поле не воин. А работать совместно с такими как нуклайт... "приятнее" и "результативнее" разве что с Ульрихом Дреппером взаимодействовать, но того более-менее заворкэраундили :)

> И да, он оказался в топ10 Yandex root, а твое резюме можно увидеть ?

Нет, разумеется: я не ищу работу. А с вами я бы вообще в одну команду работать не пошел - не люблю неадекватов. А бздуны почти поголовно с диким ЧСВ и вечно лезут померяться им. При том 99% оных своему ЧСВ еще и по скиллам не соответствует.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 21-Апр-12 02:31 
>> Ну в отличии от тебя он имеет смелость подписаться под своим мнением,
>> а уровень его технических статей вызывает как минимум уважение.
> Я рад за него. Как специалист он хоть и одиозен/предвзят но иногда
> может и дельно каркнуть даже. А как человек - даже не
> знаю как это культурно сказать. Прикол состоит в том что в
> крупных проектах как-то так оказывается что один в поле не воин.
> А работать совместно с такими как нуклайт... "приятнее" и "результативнее" разве
> что с Ульрихом Дреппером взаимодействовать, но того более-менее заворкэраундили :)

А вы с ним работали?


>> И да, он оказался в топ10 Yandex root, а твое резюме можно увидеть ?
> Нет, разумеется: я не ищу работу. А с вами я бы вообще
> в одну команду работать не пошел - не люблю неадекватов. А
> бздуны почти поголовно с диким ЧСВ и вечно лезут померяться им.
> При том 99% оных своему ЧСВ еще и по скиллам не
> соответствует.

Сейчас, кстати, хорошо видно только ваше ЧСВ...



"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 21-Апр-12 05:10 
> А вы с ним работали?

Я его коменты и посты видел. Вполне достаточно.

> Сейчас, кстати, хорошо видно только ваше ЧСВ...

Вы не дружите с головой? ЧСВ - попытка набить себе цену. А тут 100500 таких же ходит - набить себе цену по определению не выйдет. Какой смысл в чсв у анонима? :)


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 22-Апр-12 06:29 
>> А вы с ним работали?
> Я его коменты и посты видел. Вполне достаточно.

мне лениво это комментировать, да и как-то пофигу, nuclight сам ответит, если пожелает, но прежде чем нападать, сами себя деанонимизируйте, что бы мы посмотрели, какой вы крутой перец.

>> Сейчас, кстати, хорошо видно только ваше ЧСВ...
> Вы не дружите с головой? ЧСВ - попытка набить себе цену. А
> тут 100500 таких же ходит - набить себе цену по определению
> не выйдет. Какой смысл в чсв у анонима? :)

Я головой, и ее содержимым, пользуюсь по назначению. И сейчас, пользуясь головой по назначению, я вижу что вы себе набиваете цену через опускание других, причем кричите спрятавшись за анонима, что не этично, по крайней мере.


"Критическая уязвимость в OpenSSL"
Отправлено Michael Shigorin , 21-Апр-12 16:56 
> кроме своего немеряного ЧСВ.

Вадим -- вполне толковый специалист.  Со своими тараканами, но кто из нас без того.


"Критическая уязвимость в OpenSSL"
Отправлено Куяврик , 22-Апр-12 03:17 
>> "профессионал" прилюдно покрасил штаны в коричневый,
> Это вы наверное о себе.

Дружище, как так получается, "профессионал" всё перепутал и переврал, а речь - внезапно так - обо мне?


"Критическая уязвимость в OpenSSL"
Отправлено Michael Shigorin , 21-Апр-12 16:54 
> Это вообще фирменный стиль дочерних проектов OpenBSD.

Можно подробнее?


"Критическая уязвимость в OpenSSL"
Отправлено Kibab , 25-Апр-12 10:29 
Школота, сначала разберись в разнице между OpenSSL и OpenSSH, а потом придёшь и расскажешь, какое это отношение OpenSSL имеет к OpenBSD :-)

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 19-Апр-12 23:11 
> мыслей как же в один прекрасный момент может быть страшно от
> какого-нибудь ИТ-апокалипсиса.

А теперь ты вообще спать спокойно не сможешь - на ка, почитай тут: http://www.rom.by/blog/Birusy_3G_--_prodolzhenie_versija_ot_...

Как тебе такая красота? Между прочим статья не гон, это ресурс очень компетентных парней по биосам, архитектура сервисного проца названа верно, etc, etc - перец явно в теме ;)


"Критическая уязвимость в OpenSSL"
Отправлено G.NercY.uR , 20-Апр-12 05:23 
Спасибо за ссылку, на самом деле эту статью несколько лет назад уже читал, и очень ею был впечатлён :)
Интересно, а реально есть такие уже факты как заражение биоса видях или материнок?

"Критическая уязвимость в OpenSSL"
Отправлено фклфт , 20-Апр-12 07:21 
> Интересно, а реально есть такие уже факты как заражение биоса видях или
> материнок?

Уже к большому сожалению есть



"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 10:48 
вас не затруднит предоставить ссылочку для ознакомления?

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 13:52 
> Интересно, а реально есть такие уже факты как заражение биоса видях или материнок?

Так там вполне реальный факт вливки китайозами прямо на фабрике какой-то левой дряни вместо нормальной фирмвари, при том как я понимаю, они вламывались своим бэкдором средствами фирмвари сервисного контроллера, которая для "упрощения" ее анализа мало того что нахрен проприетарная так еще и любезно зашифрована интелом, так что перец поймал подляну по весьма косвенным признакам.

ЗЫЖ реально эффективный способ отлова такой фигни - только физическое чтение SPI-флехи независимой железкой. Нынче обычно все эти запчасти хранятся в одной флехе, но чипсет от интеля может заниматься довольно продвинутыми махинациями с демонстрацией некоего абстрактного представления из этого слоеного пирога. Как то - фирмварь сетевки и BMC не видны как части BIOS, хотя физически в микрухе памяти именно слоеный пирог из 3 компонентов. Вся эта механика в принципе расписана у интела в даташитах, однако про BMC, его набор команд и что делает этот невнятный фирмварез там ни звука.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 16:11 
весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно и нужно, в отличие от набигаторов-демократоров.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 22:54 
> весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно
> и нужно, в отличие от набигаторов-демократоров.

У них достаточно умных голов и грамотных хакеров, в том числе и на службе правительства. Помнится гугл они грамотно взломали и унесли то что их интересовало.

А насчет не сильно надо - возможность вырубить половину инфраструктуры противника легким движением руки еще никому плохо не делала. А компьютеры нынче рулят много чем. Вырубание большой массы компьютеров по сигналу извне может довольно сильно нагнуть кого угодно. Как вы думаете, что будет делать оголодалое население которое не сможет денег с карточки снять потому что банкоматы и банковские системы дружно легли? Вероятно, начнется массовое мародерство и полный беспредел, как минимум.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:39 
> У них достаточно умных голов и грамотных хакеров, в том числе и
> на службе правительства. Помнится гугл они грамотно взломали и унесли то
> что их интересовало.

компетенция китайских специалистов не ставится под сомнение.

> А насчет не сильно надо - возможность вырубить половину инфраструктуры противника легким
> движением руки еще никому плохо не делала. А компьютеры нынче рулят
> много чем. Вырубание большой массы компьютеров по сигналу извне может довольно
> сильно нагнуть кого угодно. Как вы думаете, что будет делать оголодалое
> население которое не сможет денег с карточки снять потому что банкоматы
> и банковские системы дружно легли? Вероятно, начнется массовое мародерство и полный
> беспредел, как минимум.

соль в том, что "занычка" китайцами плохо кореллирует с вышеприведенным материалом по ссылке.
в большей части потому, что сама система виртуализации разработана интелом.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 21-Апр-12 05:24 
> в большей части потому, что сама система виртуализации разработана интелом.

И что? Китайцы вполне могли решить проабузить полезную фичу для ненавязчивого контроля кучи писюшников которые потом попадут потенциальным противникам. Ничему не противоречит. А контроллер BMC - очень логичная и удобная точка перехвата. Мало того что мало кто допрет искать подляну в этой фирмвари а не основном системном биосе, так он еще и всегда в сети и не выключается никогда, ибо питается от дежурки, что дает ему +10 к ценности: враг думает что он выключил комп и он ничего не может. Но на самом деле это не совсем так. Всего 1 ремотный свисток и BMC включит его. Чертовски удобная штука. В целом выглядит логично и начальные условия вполне подходящие.

Несколько сюрреалистично? Ничего, привыкайте. Мир становится сложнее. Нас будет ждать очень много разных открытий по мере развития технологий. Не все из них вам понравятся. А некоторые смогут вызвать ужас, заставляющий шевелиться волосы даже на ногах.


"Критическая уязвимость в OpenSSL"
Отправлено Влад , 20-Апр-12 11:02 
Открою тайну, серваки в принципе надо периодически апдейтить, ибо багфиксы. В некоторых случаях, как в этом, срочно.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 19-Апр-12 22:19 
>OpenSSL 1.0.1a, 1.0.0i и 0.9.8v

У меня на дебиан стеблэ стоит 0.9.8o, надеюсь там уязвимости нет.
В любом случае буду внимательно следить за обновлениями.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 19-Апр-12 22:24 
o < v, значит есть.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 00:32 
> У меня на дебиан стеблэ стоит 0.9.8o, надеюсь там уязвимости нет.

http://security-tracker.debian.org/tracker/CVE-2012-2110

Debian/stable package openssl is vulnerable.
squeeze, squeeze (security) 0.9.8o-4squeeze7 vulnerable


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 01:48 
Все, уже прилетели апдейты.

"Критическая уязвимость в OpenSSL"
Отправлено Andrey Mitrofanov , 20-Апр-12 14:58 
Так ты того, мон шер, _последи за ними!?

"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 20-Апр-12 16:28 
Здравствуйте, профессор

"Критическая уязвимость в OpenSSL"
Отправлено Xasd , 20-Апр-12 01:58 
> В любом случае буду внимательно следить за обновлениями.

зачем?


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:42 
> зачем?

Чтобы втулить их ASAP, разумеется.


"Критическая уязвимость в OpenSSL"
Отправлено Kibab , 25-Апр-12 10:31 
> надеюсь

Дальше не читал


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 19-Апр-12 23:03 
Упс, вот буллшит то. Эта либа ж в каждой дырке... :\

"Критическая уязвимость в OpenSSL"
Отправлено DeadLoco , 20-Апр-12 00:33 
По всей видимости, закрытые проприетарные решения с бэкдорами вы считаете лучшей альтернативой опенсорсу, доступному для свободного аудита?

Я, видимо, совсем ничего не понимаю в этой жизни.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 00:34 
> Я не знаю людей в здравом уме, которые используют openssl. Вы можете
> баловаться с линуксом , gnu, и тд ,но Криптография - это
> не та область в которой можно использовать бесплатные решения, созданные в
> свободное время.

Вы так говорите, как будто платные продукты за сотни тысяч долларов используют для криптографии что-то, кроме openssl :)

По факту, практически все современные проприетарные криптографические решения являются форками openssl.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 00:45 
> По факту, практически все современные проприетарные криптографические решения являются форками openssl.

Причем обновление, исправляющее сабжевую дыру, придет к ним с большим опозданием (если вообще придет).
И это правильно. Пусть пpыщавые подростки балуются с бесплатными решениями, созданными в свободное время, и остаются неуязвимыми, а "серьезные бизнесмены", поверившие в красивую рекламу, светят своими корпоративными дырками на весь инет. Чем дураков больше - тем их меньше :)


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:55 
> Эта "дырка" будет закрыта когда они заменят все выпущенные за 5 лет

Ах, 5 лет? Это вы наверное о том что софт в винде будет 5 лет с этого дня и дальше таскать уязвимый openssl. А ведь будет - средства универсально обновить либу там нет. Так что и спустя 5 лет будут дырявые софтины.


"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 20-Апр-12 16:30 
А вы бы меньше туману напускали да ссыллки на видео часовое клали (рабочий день, поди - некогда его смотреть),  а толком объяснили бы. А то "у нас есть такие приборы" продолжается уже в трёх дестяках ваших комментов.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:00 
> Кстати те кто в виндоус используют openssl вместо CAPI совершает преступление

Преступление совершают те кто используют прибитое гвоздями к одной системе апи, которое делает одному-микрософту-ведомо-что. Никаких внятных методов быстро проверить что там все честно - нет, сорцы реализации то недоступны.

А доверять блобу где хз что но "мамой клянусь, мы честные" будет только конченый дебил. Этих господ тоже ловили на каких-то остатках ключей для спецслужб. Стало быть - нафигЪ.


"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 21-Апр-12 02:29 
Чудесно. И при чём здесь взлом kernel.org? Или вы решили всё в одну кучу свалить, чтоб уж точно народ впечатлился?

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 21-Апр-12 02:59 
> А как назвать человека который будет доверять библиотеке Openssl? В которой, за
> прошлые полгода найдено дюжина уязвимостей. И за полгода до этого. И
> за полгода до этого. и ... И сейчас. И, я уверен
> в следующие полгода эта ситуация не изменится. Так как мы назовем
> того кто поплыл по морю в грозу на заведомо дырявом тазу?
> Или взлом kernel.org вам ни о чем не сигналит?

альтернатива есть?


"Критическая уязвимость в OpenSSL"
Отправлено Michael Shigorin , 21-Апр-12 17:07 
>> А как назвать человека который будет доверять библиотеке Openssl?
> альтернатива есть?

Есть gnutls:
http://secunia.com/advisories/product/38762/?task=statistics
http://secunia.com/advisories/product/30216/?task=statistics

Почему-то "шпециалист" упомянул CAPI, но не его.  Наверное, в силу объективности.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 22-Апр-12 06:22 
>>> А как назвать человека который будет доверять библиотеке Openssl?
>> альтернатива есть?
> Есть gnutls:
> http://secunia.com/advisories/product/38762/?task=statistics
> http://secunia.com/advisories/product/30216/?task=statistics
> Почему-то "шпециалист" упомянул CAPI, но не его.  Наверное, в силу объективности.

Про gnutls мы знаем, но хотелось бы послушать того человека. Интересно же услышать о том, что gnutls наряду с openssl - бездарные поделки, т.к. имеют открытый код, и какие есть таки не бездарные поделки и как можно самостоятельно проверить их на небездарность.


"Критическая уязвимость в OpenSSL"
Отправлено Michael Shigorin , 22-Апр-12 14:04 
> но хотелось бы послушать того человека.

Простите, тот человек вчерась упорно гнал и не вменялся.  Пришлось зачистить. :(

Боюсь, не расскажет он такой методики.


"Критическая уязвимость в OpenSSL"
Отправлено Пользователь Debian , 20-Апр-12 01:15 
schannel в Microsoft Windows это форк OpenSSL?

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 01:30 
А вы думали, мелкософтовцы сами осилили написать код для криптосистемы? =)

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 01:25 
> а ресторанах подают только доширак. По крайней мере, бомжики в нашем подвале так считают.

Иногда даже доширак лучше того, что подают в ресторанах. Особенно когда повар в плохом настроении постоянно плюется в кастрюли, а официанту не понравился взгляд клиента и он специально вывалял еду по полу :)

> Если у вас нет денег на хорошую библиотеку - используйте хотя бы cryptlib или царя.

Зачем, если все то же самое можно получить бесплатно, да еще и со своевременными обновлениями безопасности?


"Критическая уязвимость в OpenSSL"
Отправлено anonymous , 20-Апр-12 07:57 
Вы путаете дырки с закладками.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 10:28 
Почти, чаще с именем BackdoorPacketCmdLine.
http://www.opennet.me/opennews/art.shtml?num=33549

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 02:50 
> Криптография - это не та область в которой можно использовать бесплатные решения,

Криптография - это не та область в которой можно использовать закрытый проприетарный крап который даже невозможно проверить на наличие закладок. Достаточно вспомнить историю с встраиванием "дополнительных" ключей в PGP, после запала на подобных потугам парням пришлось открыть сорец, хоть и под коммерческой лицензией. Без этого им просто уже никто не верил поскольку останки ключей "с двойным дном" говорили очень уж не в пользу проприетарной хрени.

И, собственно, а как вы проводили аудит проприетарных решений на эксплойтабельность? А то вон comodo hacker - провел "аудит" кучи проприетари, так что DigiNotar в момент стал банкротом т.к. там взломали вообще все, от тыринга логина администратора домена (==потенциально хакнуты все машины домена) до выпуска пачки левых сертов с валидными подписями на них (==кирдык CA как сущности).


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 10:36 
Можно. Садись и проверяй.

"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 12:21 
А кто это сказал, что это "закладка"? Очередной проплаченный анонимус?

"Критическая уязвимость в OpenSSL"
Отправлено Andrey Mitrofanov , 20-Апр-12 13:38 
>www.linux.org.ru/news/opensource/995479
> 2012 год -  Критическая уязвимость в OpenSSL версии 0.9.8 позволяющая удаленно
> выполнять код.
> ЛОР они знали.

Фсмысле?? Ещё в 2005-ом рекомендовали ставить свежих закладок?! //МВ на службе.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:03 
> 2012 год -  Критическая уязвимость в OpenSSL версии 0.9.8 позволяющая удаленно
> выполнять код.

А в виндусе каждый месяц пачка апдейтов выполнение кода чинит. И???


"Критическая уязвимость в OpenSSL"
Отправлено Hety , 20-Апр-12 10:42 
Эта новость прозрачно намекает на то, что таки да, его проверяют.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 11:46 
> Эта закладка находилась в OpenSSl три с лишним года. Где были все
> эти проверяльщики?

Ну вот они пришли. А сколько лет в проприерастии были закладки и просто баги реализации - мы вообще можем и не узнать.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 15:13 
> наглость. Это уже не бревно, это амазонская сельва в собственном глазу.

О, надо будет запомнить. Годное описание производителей проприетари.

> На багах openSSL уже третье поколение студентов учится криптоанализу - смотри для
> примера ссылку на курс внизу.

А на попытках встроить бэкдор с левыми доп. ключами в (проприетарный) PGP какое поколение уже учится? Прямо эталонно было - им таки пришлось сорц открыть после столь эпичного обсирона :)


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 12:14 
>> Эта закладка находилась в OpenSSl три с лишним года. Где были все
>> эти проверяльщики?
> Ну вот они пришли. А сколько лет в проприерастии были закладки и
> просто баги реализации - мы вообще можем и не узнать.

Ты и линуксовое ядро проверить не способен, несмотря на полностью открытый код. Опаньки?


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 13:53 
> Ты и линуксовое ядро проверить не способен, несмотря на полностью открытый код.
> Опаньки?

Способен тот, кому это нужно.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:18 
> Ты и линуксовое ядро проверить не способен, несмотря на полностью открытый код.

Как минимум некоторые автоматические валидации кода и поиск характерных попыток западлостроения или просто чувствительных багов я вполне могу сделать, методы есть. А какое-нить Сoverity это делает на регулярной основе и не то чтобы сильно плохо.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 11:48 
> Эта закладка находилась в OpenSSl три с лишним года. Где были все
> эти проверяльщики?

Клоун, почитай что о закрытом коде в криптографии пишут известные криптографы.


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 13:52 
Профессор защищает свою поляну. Но это не отменяет того факта, что SSL  -- и OpenSSL, в частности -- всё меньше отвечает реалиям времени.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:12 
> Огласите список "Известных криптографов" и их высказывани, не стесняйтесь.

Брюс Шнайер тебя устроит? Умный перец, в криптографии шарит хорошо.


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 15:29 
Криптография тут не причём.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:30 
> Криптография тут не причём.

Ах, я заметил, вон тот перец просто очередной микрософтовский бот, пытающийся втереть что закрытые реализации делающие хрен знает что и как - не так уж плохо. Не, извините, если от меня прячут реализацию алгоритмов, у меня нет причин доверять такому коду.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:16 
> - очень подробно объяснил почему НЕ стоит пользоваться openssl.

SSLем вообще пользоваться в его текущей реализации не стоит пользоваться. В браузерах - точно. В остальных местах - ну если очень аккуратно выбирать и валидировать CA (только свой и признаем только его валидные сертификаты) и аккуратно кодить программы... вот только какой процент программ и сценариев их юзежа этому удовлетворяет?

Example: вот конектимся мы к жаббер серверу. Много вы знаете о том как ваш клиент валидирует сертификаты? А знаете что будет если ComodoHacker выпишет серт на то же самое но другой CA? Ну вот и правильно - при этом даже не важно какая именно либа SSL реализует, секурность от нее будет чисто номинальная в общем случае.


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 15:32 
SSL себя окончательно и полностью изжил. Но в замен ничего столь же массового нет.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:25 
> - очень подробно объяснил почему НЕ стоит пользоваться openssl.

Профессор читающий курс вообще не обязан быть каким-то особо-крутым криптографом. Имелись в виду парни рангом покруче. Те кто разрабатывает криптоалгоритмы всерьез, анализирует их на уязвимости и прочая. Практически криптографы сходятся прямо в определениях на том факте что закрытым должен быть только ключ а не сам алгоритм. По сути это и есть формальное признание опенсорца как единственно осмысленного варианта в криптографии. Ибо когда все честно - алгоритмы прятать не требуется, только ключи. Более того, если алгоритмы прячут - это плохой признак. Нельзя провалидировать то что реализовано именно в соответствии с "рекомендациями лучших собаководов" и не воткнуто бэкдоров.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:21 
> Покруче? Чем Josh Benaloh?
> Публикуется с 1979 года (Symbolic and Algebraic Computation )

Ну круто, да. Таненбаум вон тоже книжки пишет. О том как (не) надо писать операционки. И как, много вы операционок писаных по этой книжке вокруг видите?

> с 85 занимается системами электронных выборам.

То-то в сша уже был скандал из-за недоверия общественности к машинам действующим по никому не известным алгоритмам, которым предлагается слепо верить. Как баранам которых на мясокомбинат тащат.

> С 2000 в California Internet Voting Advisory Committee
> Автор многочисленных исследований пример http://en.wikipedia.org/wiki/Benaloh_cryptosystem

Ну, очередная криптосистема с публичным ключом какая-то. Насколько я понимаю ее фундаментальные свойства не так уж далеки от того же RSA. И чего же оно такое хорошее нигде не используется? Или оно просто ничем таким не лучше еще пачки таких же алгоритмов и является примерно тем же самым по смыслу, под другим соусом?

> и почетный проффесор четырех университетов и прочая и прочая.

Да вон Таненбаум тоже почетный профессор. Идите его операционки используйте, чтоли. Не хотите? :)

> Это самый что ни на есть практикующий крипто специалист.

Что-то глядя на алгоритмы вокруг - я не вижу широкого использования алгоритмов от данного специалиста. Что за фигня?


"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 20-Апр-12 16:37 
А кратко можно? Пересмотреть кучу видео ради пары утверждений, когда это далеко не основная твоя специальность - оно всё же на любителя. Или более точные ссылки - какой файл, какая минута

"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 20-Апр-12 17:19 
Да и так на очереди материалов на год вперёд.
А всё же - в двух словах можете объяснить, что там с OpenSSL не так?

"Критическая уязвимость в OpenSSL"
Отправлено Crazy Alex , 21-Апр-12 02:35 
Ну так баги везде бывают. Но вы тут как-то полунамёками пытаетесь сказать,что конкретно с OpenSSL что-то настолько не так, что обэтом даже на лекциях говорят. Вот мне и инетересно было, что именно.

Впрочем, сейчас у меня возникло другое подозрение. Судя по тому,ч то вы:
1) убеждаете, что открытый код ненадежен поопределению (причем в криптографии!)
2) даёте ссылку на "крытого спеца" и обосновываете это тем, что он работает в MS
3) никаких конкретных доводов не привели, зато туману напустили целую тучу

возникает подозрение, что вы просто-напросто очередной "евангелист" Майкрософта. Так что а пойдите-ка мимо товарищ - как говорится, до выяснения.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 23:26 
> Классический курс от одного из лучших специалистов Miscrosoft,

А, так вот почему он нападает так избирательно на именно openssl, коммерческий интерес.

Вот прям ща, я уже так и побежал доверять выводам проплаченного специалиста со шкурным интересом относительно конкурирующих продуктов. Ищите идиотов где-нибудь в другом месте.

И да, лично я не собираюсь считать закрытый код шифрования доверяемым. Мало ли что он там побочно делает. Show us the code or GTFO. Блобы по определению недоверяемы - их авторы не хотят давать в руки остальных людей возможность верифицировать код простыми и удобными методами. Для криптографии это более чем подозрительно и доверять таковой - упаси боже.

Любой криптограф знает что в криптографии единственным секретом должен быть ключ. А раз так - нет повода прятать алгоритм.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 21-Апр-12 02:48 
>>А, так вот почему он нападает так избирательно на именно openssl, коммерческий интерес.
> Баги в код openssl тоже он подсовывает?

т.е. в том, что пишет он багов нет? можно ссылочку на исходняки, хочу посмотреть.

>>Вот прям ща, я уже так и побежал доверять выводам проплаченного специалиста
> Вам  ненависть к Майкрософту затмевает глаза. В майкрсософтк работают прекрасные ученые
> и программисты, ничуть не хуже чем в Гугле или любой другой
> корпорации. И, у меня складывается такое впечатление, по образованнее многих здесь,
> включая и вас.

Бесспорно, работают, и что с того?

>>И да, лично я не собираюсь считать закрытый код шифрования доверяемым. Мало ли что он там побочно делает. Show us the code or GTFO. Блобы по определению недоверяемы - их авторы не хотят давать в руки остальных людей возможность верифицировать код простыми и удобными методами.
> А открытый код получается что? По определению "доверяемый"? Тогда у меня для
> вас плохая новость - жмите ctrl+home, что бы прочитать ее.

Открытый код я могу элементарно проверить хотя бы на команды подобные "BackdoorPacketCmdLine", а закрытый?


"Критическая уязвимость в OpenSSL"
Отправлено kurokaze , 21-Апр-12 12:02 
>В майкрсософтк работают прекрасные ученые и программисты

Почему же у них из разу в раз гуано получается?
Это риторический вопрос


"Критическая уязвимость в OpenSSL"
Отправлено Куяврик , 22-Апр-12 03:24 
>>В майкрсософтк работают прекрасные ученые и программисты
> Почему же у них из разу в раз гуано получается?
> Это риторический вопрос

Не хотят напрягаться для разного быдла. Сорри, вырвалось.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 22-Апр-12 19:35 
> Не хотят напрягаться для разного быдла. Сорри, вырвалось.

А ты бы стал напрягаться для всяких там манагеров? Результат труда тебе не принадлежит. У тебя его все-равно отнимают. А зарплату и так дадут - зачем работать лучше? Проприерасы почему-то никак не могут понять что эта их жаба их же и похоронит в результате, естественными методами. Причинно-следственные связи будут примерно как для отмирания рабовладения, плюс-минус лапоть :)


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:04 
> В этой "либе" зарегистрирована каждая возможная дырка, включая экзотические, типа timing attack

Тайминг-атаки применимы на почти всю криптографию так или иначе, особенно на некоторых наборах данных типа VoIP. Эффективно их заткнуть там - вообще целое отдельное приключение.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 00:46 
> Упс, вот буллшит то. Эта либа ж в каждой дырке... :\

Не нравится? А вот в gnutls уязвимостей на порядок меньше, да и качество кода повыше.
Но вот всякие апачи, желающие подстилаться под проприетарщиков, в жизни этого не признают.


"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 05:48 
Это пока ее нигде не юзают. Начнут юзать - вылезит еще и поболее чем тут :(

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 12:13 
Наконец-то здравый коммент. Кстати, фраза справедлива и по отношению к secure by design системам. Якобы secure by design.

"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 10:35 
Гугля планомерно обгаживает SSL, явно с намерением пропихнуть что-то своё взамен. Это ж огромный неокученный пока рынок. В рашке то, скажем, КриптоПро под суетилось, законодательно монополизировав рынок. А Гугля такое же будет пытаться делать, но уже на своём уровне.

"Критическая уязвимость в OpenSSL"
Отправлено szh , 20-Апр-12 12:50 
у тебя больное воображение воспитанное в рашке
Гугль такие вещи пихает в открытом виде, даже код протокола бесплатно отдавая.

"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 20-Апр-12 13:49 
Гуголь ничего не делает бесплатно. А сложившая инфраструктура массовых крипто-услуг в Интернете сейчас, по сути, бесхозная и уязвимая. Лакомый кусок. И у Гугля сейчас есть все предпосылки, чтобы вклиниться туда со своими решениями. Но для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 14:11 
> для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.

Как минимум реализация ауторитей в SSL натурально никакая. Любой CA может выписать по желанию левой пятки сертификат на что угодно и все посчитают это за чистую монету.


"Критическая уязвимость в OpenSSL"
Отправлено szh , 22-Апр-12 20:49 
поиск бесплатен
хром бесплатен
андроид бесплатен
гмейл бесплатен

P.S. решение гугла не станет универсальным, если не будет бесплатным.


"Критическая уязвимость в OpenSSL"
Отправлено Кирилл , 23-Апр-12 10:38 
Всё это оплачивается рекламодателями, а значит опосредованно, через долю на рекламу и продвижение в себестоимости, потребителями.

"Критическая уязвимость в OpenSSL"
Отправлено Аноним , 20-Апр-12 16:18 
>  Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.

http://seclists.org/fulldisclosure/2012/Apr/225:
> Correct me if I am wrong, but shouldn't this only be a problem on
> systems where a size_t is wider than an int i.e. not on 32 bit systems?

No because size_t is unsigned. Some attacks would rely on being 64 like he stated, but not all.