The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В IPSec пакете strongSwan обнаружена серьёзная уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от opennews (??) on 03-Май-13, 23:57 
Вышло (https://lists.strongswan.org/pipermail/announce/2013-April/0...) экстренное обновление strongSwan 5.0.4 (http://www.strongswan.org/), свободного пакета для создания VPN-соединений на базе протокола IPSec, используемого в Linux, Android, FreeBSD и Mac OS X. В новой версии устранена серьёзная уязвимость (CVE-2013-2944), проявляющаяся при использовании плагина "openssl" в выпусках с 4.3.5 по 5.0.3 включительно, и позволяющая установить соединение с использованием некорректного сертификата или сигнатуры. Суть ошибки состоит в том, что любая пустая, нулевая или ошибочная цифровая подпись ECDSA воспринималась как  корректная. Обязательным условием успеха атаки является использование бэкенда OpenSSL (по умолчанию не используется и включается при сборке с опцией "--enable-openssl") и задействование аутентификации ECDSA (Elliptic Curve Digital Signature Algorithm).

URL: https://lists.strongswan.org/pipermail/announce/2013-April/0...
Новость: http://www.opennet.me/opennews/art.shtml?num=36854

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от anonymous (??) on 03-Май-13, 23:57 
Это баг в strongswan или в openssl?
Соответственно, затрагивает ли это, к примеру, openssh с ecdsa?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от ВовкаОсиист (ok) on 04-Май-13, 01:19 
ошибка в strongSwan, т.к. не корректно обрабатывали ошибки OpenSSL.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +6 +/
Сообщение от pavlinux (ok) on 04-Май-13, 02:27 
> Это баг в strongswan или в openssl?

Не, не, не, только сильныйлебядь.


valid = ECDSA_verify(0, hash.ptr, hash.len,
-     signature.ptr, signature.len, this->ec);
+     signature.ptr, signature.len, this->ec) == 1;  

Вот нафига так сравнивать? Потом придут новые майнтенеры, начнут оптимизить, и покоцают == 1;  
Неужели все ресурсы выжрет один добавленный if ?


ret = ECDSA_verify(0, hash.ptr, hash.len, signature.ptr, signature.len, this->ec);
if (1 == ret)
   valid = TRUE;

Во, OpenSSL, специально для Равшанов и Джамшутов, в мане написал как надо делать!
http://www.openssl.org/docs/crypto/ecdsa.html


Third step: verify the created ECDSA signature using ... ECDSA_verify

ret = ECDSA_verify(0, digest, 20, buffer, buf_len, eckey);
// and finally evaluate the return value:

if (ret == -1)
        {
        /* error */
        }
else if (ret == 0)
        {
        /* incorrect signature */
        }
else   /* ret == 1 */
        {
        /* signature ok */
        }


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от VoDA (ok) on 04-Май-13, 13:11 
На фоне таких ошибок становится понятно адекватность использования ТОЛЬКО boolean в операциях if.

В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ. В java только прямая проверка.

PS а что они будут делать если придет возврат -2? ошибка? да, ошибка. но по логике man-ов будет signature ok.

почему в мане они предлагают серию if, а не switch case, где default будет ругаться в логи? или хотя бы проверяли на ==1.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  –1 +/
Сообщение от pavlinux (ok) on 05-Май-13, 01:55 
> В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ.

Думать надо перед написанием программы, а не сразу топтаь клавиатуру.
Если не твоя, внешняя функция возвращает три результата,
то ты ОБЯЗАН обработать все три результата, а не оставлять на авось
и модальные округления, типа 23 mod 12 тоже 11 будет, и пофиг утра или вечера.

> В java только прямая проверка.  PS а что они будут делать если придет возврат -2?

Куда придёт? Откуда?

> почему в мане они предлагают серию if, а не switch case, где
> default будет ругаться в логи? или хотя бы проверяли на ==1.

Ты каким местом читаешь? В серии if-elif-else именно это и есть! :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от Аноним (??) on 04-Май-13, 20:32 
Пусть используют установку побитовых-масок в макросах и не выеживаються
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от Аноним (??) on 08-Май-13, 12:50 
В твоем примере ошибка. valid - не инициализирован. И нафига тебе if, в оригинале очень даже годно написано.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от Аноним (??) on 04-Май-13, 02:30 
Это ж трындец, товарищи!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от Аноним (??) on 05-Май-13, 16:35 
> Это ж трындец, товарищи!

Этому багу сто лет в обед. Его воспроизводят и воспроизводят. Это NULL authentification.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  –2 +/
Сообщение от бедный буратино (ok) on 04-Май-13, 03:14 
Вот так всегда - ждёшь уязвимости в php, а получаешь в IPSec. Не гневай Господа ямой, и сам туда не попадёшь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от Дима (??) on 04-Май-13, 13:18 
Affected are only installations that have enabled and loaded the OpenSSL crypto backend (--enable-openssl). Builds using the default crypto backends are not affected.


Использую libgmp (http://gmplib.org), а не openssl.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +/
Сообщение от arisu (ok) on 04-Май-13, 18:52 
очередные «оптимизаторы» не читают документацию. молодцы, они В Тренде.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  –1 +/
Сообщение от Аноним (??) on 04-Май-13, 19:25 
Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"  +1 +/
Сообщение от pavlinux (ok) on 05-Май-13, 12:29 
> Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка

Это чё, из серии - хотел пофлудить, но мозга не хватило?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру