Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 0.9.8zb (http://marc.info/?l=openssl-announce&m=140736716402308&w=2), 1.0.0n (http://marc.info/?l=openssl-announce&m=140736798102522&w=2) и 1.0.1i (http://marc.info/?l=openssl-announce&m=140737022103113&w=2) в которых устранено 9 уязвимостей (https://www.openssl.org/news/secadv_20140806.txt). Шесть проблем выявлены сотрудниками Google.
Уязвимости CVE-2014-3506, CVE-2014-3510, CVE-2014-3507 и CVE-2014-3505 могут быть использованы для инициировании отказа в обслуживании (крах процесса) при использовании протокола DTLS (https://ru.wikipedia.org/wiki/DTLS).
Уязвимость CVE-2014-3512 может привести к записи данных за границы буфера при обработке некорректных параметров SRP в приложениях для которых включена поддержка SRP (https://ru.wikipedia.org/wiki/SRP).Проблема CVE-2014-3511 позволяет организовать MITM-атаку по откату на TLS 1.0 вместо использования более современной версии протокола при получении серверов некорректно фрагментированного сообщения ClientHello.
Уязвимость CVE-2014-3508 может привести к утечке областей стека при использовании в приложениях для отформатированного вывода таких функций, как X509_name_oneline и X509_name_print.
Уязвимость CVE-2014-5139 может использоваться для инициировании краха клиентского приложения при выдаче сервером некорректного набора шифров SRP.
Проблема CVE-2014-3509 вызвана состоянием гонки в функции ssl_parse_serverhello_tlsext и может быть использована для записи до 255 байт в уже освобождённый блок памяти при обращении многопоточного клиентского приложения к серверу злоумышленника.
URL: http://marc.info/?l=openssl-announce&m=140736716402308&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=40342
http://dayswithoutansslexploit.com/
Пусть график сделают УЖЕ! //zabbix, zabbix
RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)
> RRDTool'ные графики - число уязвимостей по дням :). Zabbix то нахрена? :)Я не про то, в смысле, как "человек, измученный забиксом," больлшой текстовый "0" и анонимные "1нах, чётчик обанулился" не воспринимаю -- без нарисованной пилы "аптайма". Рисовать-то, понятно, можно хоть чем.
Кстати, а действительно, давай сделаем график?
теперь будем надеется что в либре ссл такого небудет
> теперь будем надеется что в либре ссл такого небудетС чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей: это тоже программа, программы пишут люди (новости про инопланетян или ангелов не было!) + все люди ошибаются, во всех программах есть ошибки.
Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов в этой либе у вас не будет по чисто техническим причинам. Ведь если код не запускается то и баги подпихнуть не может.
И тем не менее, подход проекта openbsd к кодированию - лучший, к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.
> И тем не менее, подход проекта openbsd к кодированию - лучший,Ну не знаю, openssh они накодировали в огромного переросточного монстра с кучей всякой вспомогательной и нафигнужной муиты. В результате на то чтобы прочитать его код и проверить что там все честно - надо *месяцы* просадить. Их openssh превратился в монстрюгу.
> к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают.
Да мы можем и про опенбсдшные, если надо.
Маркетинговый буллшит про две удалённых уязвимости настиг и вас.
> Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов
> в этой либе у вас не будет по чисто техническим причинам.
> Ведь если код не запускается то и баги подпихнуть не может.... Сказал человек, который configure для LibreSSL ни разу не запускал, не то что make.
...уютная ппашечка, интерграция с системды... ну, ты знаешь, чо делать, верно?
>> теперь будем надеется что в либре ссл такого небудет
>С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещейты что, хочешь лишить человека Надежды?!!
> теперь будем надеется что в либре ссл такого небудетНекоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по большей части - "нечаянно", в рамках банального приведения кода в порядок - к вопросу о необходимости культуры программирования. :)
Для трёх проблем исправления в LibreSSL уже закоммичены:
http://marc.info/?l=openbsd-cvs&m=140738701707864&w=2
http://marc.info/?l=openbsd-cvs&m=140737467804157&w=2
http://marc.info/?l=openbsd-cvs&m=140736699502263&w=2(в описании одного из последних двух коммитов - опечатка, на самом деле речь о CVE-2014-3509)
Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).
> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по
> большей части - "нечаянно", в рамках банального приведения кода в порядок
> - к вопросу о необходимости культуры программирования. :).
> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят
> предварительно уведомлять коллег оТо есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?
>> Некоторые из уязвимостей были уже пофиксены в LibreSSL ещё в июне, по
>> большей части - "нечаянно", в рамках банального приведения кода в порядок
>> - к вопросу о необходимости культуры программирования. :)
> .
>> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят
>> предварительно уведомлять коллег о
> То есть "культурные" выпилили уязвимости _без предварительного, но Вы полагаете, что _их
> должны были попредварять о чужом выпиливании, я правильно понял Ваши параграфы?Уязвимости были выпилены не целенаправленно. Давайте на примере лучше:
Вася с Петей живут в одном доме. Вася давно забил на уборку и мусор выносит только когда заканчивается место на кухонном полу. Зато он считает себя большим специалистом, потому что спит в обнимку с дихлофосом. Ну а как иначе, тараканы ж повсюду. А ещё Вася не даёт выкидывать старый сломанный стул, об который все спотыкаются в коридоре, потому что это якобы ценный антиквариат.
В то же время Петя - нормальный человек. Стол за собой вытрет, посуду - помоет, ведро - вынесет. Но задолбался Петя, потому что сколько ни старайся - бескультурье и пофигизм Васи сводят все усилия по наведению элементарной гигиены на нет.
И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, привыкшие к дому Васи, могли по дому Пети ходить с закрытыми глазами. Но уже без мусора. А все свои вещи, которые Петя унёс из дома Васи, Петя тщательно продезинфицировал. К сожалению, полностью это не помогло, но большая часть паразитов всё же сдохла. Поэтому дома у Пети дышится намного легче, посвободнее как-то.
А тут к Васе заглядывает в очередной раз его тётушка Галя - надо сказать, санитарный врач по образованию, - и в ходе ревизии находит в коробочке с фильмами плесень, да не простую, а жутко опасную. Тут же дом Васи закрывается на замок и проводится дезинфекция. После чего Вася рапортует, что опасность была в мелких бытовых предметах, но миновала и теперь всё хорошо. Только тогда Петя узнаёт о проблеме (точнее, он догадывался, что чего-то такое у Васи завелось, раз дом закрыли, но ничего не было понятно), самостоятельно перепроверяет все мелкие вещи (ведь сказать конкретно, где была плесень, Вася стесняется) и тоже находит плесень.
И вот прямо сейчас Петя готовится в свою очередь рассказать обо всём этом.
> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
> глазами. Но уже без мусора.Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, разберемся где там тараканы, где стул, а где гости. И что надо удалить.
А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и в архитектуре и юзабилити был такой же спец как и в бытовых вопросах - дом Пети оставляет желать много лучшего.
>> И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости,
>> привыкшие к дому Васи, могли по дому Пети ходить с закрытыми
>> глазами. Но уже без мусора.
> Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать,
> разберемся где там тараканы, где стул, а где гости. И что
> надо удалить.
> А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и
> в архитектуре и юзабилити был такой же спец как и в
> бытовых вопросах - дом Пети оставляет желать много лучшего.Технически - да, так точнее. :) Но суть не меняется.
И, к слову, Петя сейчас усердно работает над имеющимися проблемами. В том числе делает отдельную, не очень большую, но очень удобную пристройку, специально для гостей... Но это уже предмет отдельного, не дырозатыкательного, релиза. :)
> Увы, ребята из OpenSSL продолжают тянуть одеяло на себя и не хотят предварительно уведомлять коллег о найденных у них уязвимостях (при том, что как минимум от разработчиков LibreSSL в OpenSSL патчи уходили).Они еще и деньги получают а уязвимости зондируют "как некритичные"
Ему еще бы интерфейс нормальный. А то он справку выдает только потому что ключа --help не знает. Не то что бы меня от этого колбасило, но на самом деле это не есть хорошо: консольная утилита должна знать ключ --help, ИМХО
Да и краткая справка по наиболее востребованным командам тоже бы не помешала. Меня лично сперва задолбало ключи выискивать, а потом стало все равно - я их и так узнал. Но новичкам будет кисло, ой-ей.
> Ему еще бы интерфейс нормальный. А то он справку выдает только потому
> что ключа --help не знает. Не то что бы меня от
> этого колбасило, но на самом деле это не есть хорошо: консольная
> утилита должна знать ключ --help, ИМХО
> Да и краткая справка по наиболее востребованным командам тоже бы не помешала.
> Меня лично сперва задолбало ключи выискивать, а потом стало все равно
> - я их и так узнал. Но новичкам будет кисло, ой-ей.Тебе кто-то что-то обязан? Присоединяйся и напиши. Откарячек, что-де код закрыт, уже нет.
> в которых устранено 9 уязвимостейБольшому кораблю - большая торпеда!
Пора переименоваться в OpenUSL. Unsecure Sockets Layer.
> Unsecure Sockets Layer.1. Нет такого протокола сеансового уровня, пИтросян.
2. Ты бы об этих уязвимостях никогда до старости лет не узнал бы, если бы тебе в нос ими не тыкнули.
>> Unsecure Sockets Layer.
> 1. Нет такогоWideOpenSSL примите?
> 1. Нет такого протокола сеансового уровня, пИтросян.На самом деле есть, но его называют Secure Sockets Layer по какому-то недоразумению, если не саботажу.
> 2. Ты бы об этих уязвимостях никогда до старости лет не узнал
> бы, если бы тебе в нос ими не тыкнули.Не отменяет того факта что они есть. А невъ....ного размера код для переросточного протокола, который я до старости не смогу проанализироваьт - это БАГ а не фича.
Согласен, что совместимость важнее производительности. Вот только безопасность важнее совместимости.
>Вот только безопасность важнее совместимости.Люто плюсую.
Есть надёжные альтернативы же.
А теперь вопрос - вы о них знаете? :) Правильно, узнаете лет через 5Ю когда везде впилят. Ну дык и ...
Попытка очернить юникс удалась
> "Совместимость важнее производительности" чего-нибудь говорит, не?А здесь не о производительности, здесь уже о стабильности и безопасности. Но вы в вашем праве пользоваться MS-DOS, там совместимость уже никто портить не будет, стопудово.
> Мир не ограничен 17ю дюймами твоего персонального локалхоста, сечешь?
Подумаешь, на десяток дюймов пролошился. Ну не все же бомжи как вы :).