The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от opennews (??), 09-Июн-20, 10:23 
В библиотеке GnuTLS, которая применяется по умолчанию во многих пакетах из состава Debian, включая пакетный менеджер APT и многие утилиты, выявлена уязвимость (CVE-2020-13777), позволяющая возобновить ранее остановленный сеанс TLS без знания сессионного ключа. С практической стороны уязвимость может применяться для осуществления MITM-атак...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53120

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +11 +/
Сообщение от Alen (??), 09-Июн-20, 10:23 
Минуттачку, мы с вами ещё не закончили!  ;)
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (16), 09-Июн-20, 22:23 
...Будьте добры, помедленнее! Я записываю...
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от КО (?), 09-Июн-20, 10:35 
"может применяться"
Только опять таки надо знать атакующего
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 09-Июн-20, 12:03 
> TLS-сервер не осуществлял привязку сессионного ключа шифрования со значением, переданным приложением

Шикарно...

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +6 +/
Сообщение от Аноним (4), 09-Июн-20, 15:24 
> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер

Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP. Не зависимо от того, что скачали их по https.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +3 +/
Сообщение от Аноним84701 (ok), 09-Июн-20, 16:18 
>> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер
> Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP.
> Не зависимо от того, что скачали их по https.

Зря стараетесь.
Когда пытаешься донести до местных Свидетелей HTTPS-ца, что шифрование канала никак не заменяет подписей, шифрования самих данных или использования нормальных алгоритмов аутентификации  (особенно учитывая весьма идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "ну а чо, это же в https, а значит сикурно!", где они в обычно в таком виде и хранятся) -- начинается кидание <этим самым, коричневым>, истерика и причитания про луддитов ;)

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  –1 +/
Сообщение от Аноним (9), 09-Июн-20, 20:03 
Самое удивительное, что в это кто-то верил. Мозилла с этими радужными значками так особенно отличилась, вся такая безопасная, угу. А хром вообще сканирует систему. Всё для пущей безопасности, ага.

А как ещё пересылать, если не плейнтекстом? Передаётся плейн (желательно не через GET, но GET это очень удобно пользователю) и сравнивается с хэшем. Md5 в лучшем случае, хаха. Но с плейн текст паролями должно быть проще вернуть аккаунт законному владельцу в случае чего.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  –2 +/
Сообщение от Аноним (10), 09-Июн-20, 21:29 
https://wiki.debian.org/SecureApt

Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  –1 +/
Сообщение от Аноним (9), 09-Июн-20, 21:34 
> https://wiki.debian.org/SecureApt
> Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать.

Не понял, при чём тут дебилиан, извините. Но я застал время, когда пакеты в арче и генте никак не верифицировались.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 09-Июн-20, 21:40 
> А как ещё пересылать, если не плейнтекстом?

А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (9), 09-Июн-20, 21:43 
>> А как ещё пересылать, если не плейнтекстом?
> А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не
> гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).

А это где-то используется в интернете? На каких сайтах?

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 09-Июн-20, 21:55 
>>> А как ещё пересылать, если не плейнтекстом?
>> А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не
>> гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).
> А это где-то используется в интернете? На каких сайтах?

А нигде (хотя конечно может где-то и есть, благо либ с реализацией куча https://en.wikipedia.org/wiki/Secure_Remote_Password_protoco...) -- ведь "испокон веков" принято гонять пароли в плейнтексте. Зачем что-то менять, "ведь есть HTTPS и поэтому оно секурно!"(с).
Поэтому в браузеры и стандарты попала вагон и маленькая тележка хлама, но никак не реализация нормальной аутетнификации.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (23), 10-Июн-20, 20:59 
Как минимум, при использовании AWS Amplify для AWS Cognito. Там из коробки SRP.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (24), 11-Июн-20, 08:02 
> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "

Как сделать логин-форму без скриптов и паролей плейнтекстом?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

25. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 11-Июн-20, 13:14 
>> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "
> Как сделать логин-форму без скриптов и паролей плейнтекстом?
> без скриптов

И в вакууме. Сферическом.
В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄

Но так и быть:
https://tools.ietf.org/html/rfc2069
>  January 1997
>  An Extension to HTTP : Digest Access Authentication

Оно было еще в IE 5. Но проще ж было просто пересылать формочку (в то время даже без обертки https) и не заморачиваться 🙄

Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Это _мое_ сообщение!
Отправленно плейнтекстом.
-----BEGIN PGP SIGNATURE-----

iHUEARYIAB0WIQSqzOsxglhneE9AoANPeamwXnt+nQUCXuIAPwAKCRBPeamwXnt+
nYEdAQC1A9l0HEIXvx9y3x6t6mtpshg/e7aGa4tEIZ/bdzdxRwD+JrNojtRlHM/7
H2DBCNQPhtVtZ6vgEo07MarPvVbHoQk=
=89pk
-----END PGP SIGNATURE-----

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (26), 11-Июн-20, 17:41 
> И в вакууме. Сферическом.

В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄

Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.

> January 1997
>  An Extension to HTTP : Digest Access Authentication
> Obsolete

Ну такое.

> Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:

-----BEGIN PGP SIGNED MESSAGE-----

Теперь для каждого сайта надо новый ключ создавать и хранить?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 11-Июн-20, 18:02 
>> И в вакууме. Сферическом.
> В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте,
> работающем без JS 🙄
> Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.

А еще любители читать, хм, не совсем глазами, между строк -- и додумывать все остальное. Или аноним может процитировать мое "анти-https" высказывание?

>> January 1997
>>  An Extension to HTTP : Digest Access Authentication
>> Obsolete
> Ну такое.

Ну, можно сделать вид, что там нет ссылки на следующий RFC https://tools.ietf.org/html/rfc2617
1999 года (и оттуда - на версию 2014).
И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)

>> Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:
> -----BEGIN PGP SIGNED MESSAGE-----
> Теперь для каждого сайта надо новый ключ создавать и хранить?

1) не на каждый сайт, а лишь на каждый ID.  
2) какая принципиальная разница-то?


Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Вы забыли заполнить поле (?), 11-Июн-20, 18:33 
> Или аноним может процитировать мое "анти-https" высказывание?

Оно где-то здесь: "Свидетелей HTTPS-ца"

> И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)

RFC это очень хорошо, но на практике то можно?

> 1) не на каждый сайт, а лишь на каждый ID.  

2) какая принципиальная разница-то?

Очень неудобно. Софта то для этого нет.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 11-Июн-20, 19:00 
>> Или аноним может процитировать мое "анти-https" высказывание?
> Оно где-то здесь: "Свидетелей HTTPS-ца"

"Кто не с нами, тот против нас!"?

И энта самое, что там с современными интерактивными сайтами без JS?

>> И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)
> RFC это очень хорошо, но на практике то можно?

Можно. Этот RFC поддерживался еще IE5(.x)


Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (-), 11-Июн-20, 20:21 
> И энта самое, что там с современными интерактивными сайтами без JS?

Это какие?

> Можно. Этот RFC поддерживался еще IE5(.x)

Ну ладно.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним84701 (ok), 11-Июн-20, 21:03 
>> И энта самое, что там с современными интерактивными сайтами без JS?
> Это какие?

Это вам лучше знать, раз уж задавали такие странные вопросы:
>>>> Как сделать логин-форму без скриптов и паролей плейнтекстом?

Я, несмотря на вкушание какту^W^W NoJS по умолчанию в основном браузере -- ничем не могу вам помочь.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (6), 09-Июн-20, 17:02 
> Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3

Хорошо, что у Микрософт и Эппл библиотеки TLS 1.3 без дыр!

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +6 +/
Сообщение от Билл Джобс (?), 09-Июн-20, 17:07 
У нас вообще все библиотеки без дыр.
(Но код мы вам не покажем, вы должны верить нам, потому что у нас серьезные корпорации).
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +6 +/
Сообщение от supportapple.com (?), 09-Июн-20, 18:10 
Всё без дыр. В них нет нужды. У нас нормальные инженерные входы.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +1 +/
Сообщение от Бизнесс по всему миру (?), 10-Июн-20, 08:32 
Если честно, поверить вам проще чем анонимным волосатым мамкиным хацкерам.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

32. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Lex (??), 11-Июн-20, 21:40 
Всё так.
Не «дыры», а «технологические отверстия» :)
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (22), 10-Июн-20, 19:32 
Речь идёт про "безопасный Линукс", а не Винду и Мак. Не отвлекайся.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (15), 09-Июн-20, 22:13 
>Уязвимость устранена в выпуске 3.6.14
>В дистрибутивах уязвимость устранена в Debian, SUSE, FreeBSD, Fedora, Ubuntu, EPEL, RHEL 8

Слоупоки.

pacman -Qi gnutls | grep -e Version -e 'Install Date'
Version         : 3.6.14-1
Install Date    : Fri 05 Jun 2020 01:18:03 PM MSK

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от Аноним (9), 09-Июн-20, 22:39 
В генту ещё 4 обновили, но glsa только сегодня выпустили https://security.gentoo.org/glsa/202006-01
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  –1 +/
Сообщение от rtr.ru (?), 09-Июн-20, 23:24 
интересно все же, как вявили этот уязвимость?o_0 почему именно сейчас, а не тогда когда создавали-тестировали ОС!!!
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."  +/
Сообщение от riokoemail (?), 10-Июн-20, 10:35 
если б вы хоть краешком были знакомы с концепцией и методологией практического тестирования вопрос отпал бы сам собой.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру