The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от opennews (ok) on 26-Янв-17, 22:55 
Доступны корректирующие выпуски криптографической библиотеки OpenSSL (https://www.openssl.org/) 1.0.2k (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...) и 1.1.0d (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...), в которых устранены 4 уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...), трём из которых присвоен умеренный уровень опасности, а одной - низкий.

-  CVE-2017-3731 - позволяют инициировать крах серверного или клиентского SSL/TLS-приложения на 32-разрядных системах (чтение из области за пределами буфера) при приёме повреждённого пакета. В ветке OpenSSL 1.1.0 проблема проявляется при использовании алгоритмов CHACHA20/POLY1305, а в Openssl 1.0.2 -  RC4-MD5;
-   CVE-2017-3730 - может привести к краху клиентского приложения (разыменование нулевого указателя) при передаче сервером некорректных параметров  при обмене ключами по протоколам DHE или ECDHE;
-  CVE-2017-3732 - BN_mod_exp может вернуть некорректный результат на платформе x86_64, атака отнесена к категории труднореализуемых и маловероятных.


URL: https://mta.openssl.org/pipermail/openssl-announce/2017-Janu...
Новость: http://www.opennet.me/opennews/art.shtml?num=45927

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  –2 +/
Сообщение от ОлдФак (ok) on 26-Янв-17, 22:55 
В FreeBSD-HEAD уже внесена 1.0.2k
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  –1 +/
Сообщение от iZEN (ok) on 27-Янв-17, 00:15 
В 11-STABLE тоже внесли изменения.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Sw00p aka Jerom on 27-Янв-17, 02:59 
выпилить бы к чертя на*
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 27-Янв-17, 14:04 
Само обновило в Docker контейнере под линуксом.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Лукашенко on 27-Янв-17, 14:06 
> В 11-STABLE тоже внесли изменения.

Дрочиш небось?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 28-Янв-17, 03:34 
Школьник небось?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 27-Янв-17, 01:31 
В STABLE 11 уже прилетело. Кстати, вместе с

Author: emaste <emaste@FreeBSD.org>
Date:   Wed Jan 25 01:04:51 2017 +0000
    Add WITH_REPRODUCIBLE_BUILD src.conf(5) knob

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  –9 +/
Сообщение от Michael Shigorin email(ok) on 26-Янв-17, 23:03 
Это просто праздник какой-то... хорошо, что у нас 1.0.2 до сих пор хоть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +2 +/
Сообщение от Аноним (??) on 27-Янв-17, 07:08 
хвастается тем что у вас дыры не исправляют ?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +1 +/
Сообщение от Anonimus (??) on 27-Янв-17, 10:07 
Это все потому что вы много проводите времени на форумах, вместо пиления своего багтрекера. В каждой бочке затычка, Михалл, право же!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Старый (??) on 27-Янв-17, 12:23 
Сказочный ... Как его только из больницы выпустили?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от ппрошшш on 27-Янв-17, 14:01 
таких   в   кащенко  сейчас  долго   не   держат  ведь  миша  обычный алкаш
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 28-Янв-17, 03:36 
а ты обычный дегенерат. и что с того? у всех есть недостатки.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Ilya Indigo (ok) on 27-Янв-17, 14:55 
Понимаю, если бы у вас был LibreSSL, то есть не просто бы был одним пакетом, который не требуется никому, а все пакеты требующие OpenSSL требовали бы LibreSSL и успешно линковались с нем, тогда да, есть повод для гордыни и хвастовства. А так...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  –1 +/
Сообщение от пох on 27-Янв-17, 15:26 
> Понимаю, если бы у вас был LibreSSL

зачем?
> то есть не просто бы был одним пакетом, который не требуется никому

ту, единственную, софтину для которой актуальна и сравнительно безопасна диверсификация - тебе никто не мешает пересобрать самому. Для всего остального решительно ничего хорошего в libressl нет.

> есть повод для гордыни и хвастовства. А так...

libressl и есть бессмысленный повод гордыни и хвастовства - ничего из заявленных целей авторы не добились, совместимость без дополнительных допилок сломали как со всем распространенным софтом, нахудожествовав в api, так и с удаленными сервисами, понаудаляв "ненужного" кода (который необходимо и достаточно было просто не использовать без нужды).
Проект так и не породил простой, понятной и обозримой ssl-библиотеки - по причине изначальной безнадежности этой затеи. С тех пор они занимаются бэкпортами уже исправленных в мэйнстриме проблем, ничего н

Тратить время разработчиков хоть альта хоть кого на допиливание всего дистрибутивного софта под кастрированный апи - нет ни малейшего смысла. Там где это дается мелкими и разумными правками - это и так делают авторы самого софта.

И да, баг с "should not be called" так и не дошел до сознания авторов. То есть где-то внутри все еще весьма вероятная дыра размером с железнодорожный вагон, отсутствующая в mainstream.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от пох on 27-Янв-17, 15:10 
ну, кто запретил у себя weak algo - тем хорошо.
Кто вынужден их использовать для совместимости чорти с чем - тем гораздо хуже, чем было бы с 1.1 до выпуска заплатки - потому что новомодные djb'шные протоколы в общем-то не особенно нужны, и запретить их до исправления (а лучше, как все ненужное, навсегда) можно почти в любом разумном месте.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от Red Anus Flag Linux on 27-Янв-17, 15:15 
Федеральное шифрование небось с мастер ключом фсб?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей"  +/
Сообщение от пох on 27-Янв-17, 16:25 
> Федеральное шифрование небось с мастер ключом фсб?

а зачем тебе, шифруя _государственные_ секреты (ибо это единственное, где _требуют_ использования гостовского шифрования), что-то скрывать от ФСБ?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру