The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В LibreSSL выявлены две специфичные уязвимости, не затрагивающие OpenSSL

16.10.2015 13:28

В ходе проведённого компанией Qualys аудита SMTP-сервера OpenSMTPD, всплыли две новые уязвмости в развиваемой проектом OpеnBSD библиотеке LibreSSL, функции которой используются в OpenSMTPD. Разработчики OpenBSD уже выпустили обновления LibreSSL 2.0.6, 2.1.8 и 2.2.4 (выпуск 2.3.1 пока не готов), а также патчи для OpenBSD 5.6, 5.7 и 5.8, в которых устранены выявленные проблемы. Уязвимости специфичны для LibreSSL и не проявляются в OpenSSL.

Обе проблемы присутствуют в функции OBJ_obj2txt. Первая уязвимость (CVE-2015-5333) вызвана утечкой памяти, позволяющей совершить DoS-атаку через исчерпание доступной памяти. Вторая уязвимость (CVE-2015-5334) даёт возможность осуществить однобайтовое переполнение буфера в стеке, что потенциально может привести к организации удалённого выполнения кода в системе при обработке специально оформленных сертификатов X.509. Отмечается, что в OpenBSD на системах x86 проблема скорее всего не может быть эксплуатирована, так как переполнение возникает в стеке, для защиты которого в OpenBSD применяются дополнительные меры.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявлена порция уязвимостей
  3. OpenNews: Выпуск LibreSSL 2.2.3
  4. OpenNews: Выпуск LibreSSL 2.3.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43146-libressl
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:43, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    "..стрижка только началась.."©
    и ведь форкнули совсем недавно..
     
  • 1.2, Аноним (-), 13:57, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Вот тебе, батенька, и "чистка кода".
     
     
  • 2.5, Аноним (-), 15:29, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот тебе, батенька, и "чистка кода".

    А это сильно зависит от того, кто чистит. В данном случае все вполне закономерно.

     
     
  • 3.36, Аноним (-), 10:17, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот если бы анонимы опеннета чистили...
     

  • 1.3, Аноним (-), 14:20, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Безопасность за счет фрагментации же.
     
     
  • 2.7, Аноним (-), 15:31, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Безопасность за счет фрагментации же.

    Работает так: платформа фрагментирована => никто не хочет под нее разрабатывать, бо гемор => платформа не используется => платформу не взламывают. Успех!

     

  • 1.4, Аноним (-), 15:17, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    У Тео начнет подгорать...
     
     
  • 2.30, б.б. (?), 03:22, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    на OpenBSD уязвимость не работает, как и большинство других, ибо средств активной безопасности - полная коробка

    а проблемы портеров Тео не волнуют. ибо есть только одна истинная платформа :)

     

  • 1.6, Нимано (?), 15:30, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять как с openssl: пилило 3,5 человека за "спасибо",  а пол-мира пользовалось, не считая нужным поддержать проект.
    Зато в  сразу же нашлись экспертные критеги, которые "всегда знали!".
    ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
     
     
  • 2.8, Аноним (-), 15:32, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.

    Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные Д'Артаньяны, все равно лучше знают, как все должно быть.

     
     
  • 3.9, Аноним (-), 15:43, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> ЧСХ, никаких конкретных предложений, усилий, финансовой поддержки, кода, багрепортов или тестов от этих знатоков ни до, ни после не видели.
    > Зачем заниматься заведомо безнадежным делом? Разрабы опенка, особенно Тео, как истинные
    > Д'Артаньяны, все равно лучше знают, как все должно быть.

    Нет, лучше всего знают аналитики с Опеннета.

     
     
  • 4.11, Аноним (-), 15:50, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Нет, лучше всего знают аналитики с Опеннета.

    Если бы у Тео был аккаунт на Опеннете...

     
     
  • 5.13, Аноним (-), 16:00, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и без аккаунта
     
  • 5.27, Аноним (-), 01:27, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, раз ты точно знаешь, что у Тео нет аккаунта здесь, значит... Ты - Тео! Добро пожаловать, мужик!
     
  • 5.28, Аноним (-), 01:51, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно. Нужно просто все изначально написать без уязвимостей (С) Аноним
     
  • 4.23, Аноним (-), 21:25, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, лучше всего знают аналитики с Опеннета.

    Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
    В том плане, что трепаться умеют гораздо лучше, чем писать код :)

     
     
  • 5.26, Аноним (-), 22:16, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.
     
     
  • 6.37, Ytch (ok), 19:37, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А как умеют трепаться местные линукс-аналитики ни в сказке сказать, ни пером описать.

    Что за дискриминация? Почему именно местные линукс-аналитики? Ведь "человек со стороны", прочитав такое может совершенно несправедливо подумать будто остальные местные аналитики (назовем их "местные всё-кроме-линукс-аналитики") им в этом уступают.

     
  • 5.31, б.б. (?), 03:25, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Рыбак рыбака видит издалека. Некоторые местные аналитики очень похожи на разрабов опенка.
    > В том плане, что трепаться умеют гораздо лучше, чем писать код :)

    в OpenBSD даже актёры пишут драйверы на C :)

    но вообще, смешно видеть такую демаогогию, когда новый релиз OpenBSD выходит каждые полгода, а от анонимных аналитиков сложно ожидать хоть какой-то организованности

     
  • 3.10, Нимано (?), 15:49, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Разрабы опенка, особенно Тео,

    повторяю
    >> Опять как с openssl

    т.е. причем тут Тео со своим супир-пупер-безопасным (ну а как еще может быть, когда сам определяешь значение этого слова) опененком?

    > как истинные опеннетчики, все равно лучше знают, как все должно быть.

    Быстрофикс.


     
  • 2.12, . (?), 15:58, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Опять как с openssl: пилило 3,5 человека за "спасибо",  а пол-мира пользовалось, не
    > считая нужным поддержать проект.

    во-первых, отучайтесь говорить за пол-мира.
    Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к чему он приходит. Не думаю, что я один.

    Во-вторых, а нахрена поддерживать дерьмопроект? Не-е-е-ет, ребята, так не бывает - массовый донейт (и возможность обналичиться по крупному) появляется только у тех, кто _уже_ доказал что он людям нужен. nginx, как пример.
    Не можете - просто уходите. Без вас мир не рухнет, еще ни разу не было такого.

    В третьих, openssl никогда "за спасибо" не пилили. За спасибо был сделат его предок ssleay, но аффтар сдал свой дисер и ему стало не интересно. А openssl пилился на гранты.

     
     
  • 3.14, Нимано (?), 16:22, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > во-первых, отучайтесь говорить за пол-мира.
    > Я вот капнул этому проекту какую-то денежку, пока не было очевидным, к
    > чему он приходит. Не думаю, что я один.

    ...
    > А openssl пилился на гранты.

    Во-во. Хотя использовался на разномастных девайсах и "сурьезным бизнесом". Вон, сколько было ора, когда понадобилось сменить сертификаты.


    > Во-вторых, а нахрена поддерживать дерьмопроект?

    Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.

    Просто показательно именно "внезапное" появление "знатоков" (далеко не только на оппеннете) типа "я всегда знал! Я знал, что они криворукие бибизьяны! Я вумный!" после таких "фейлов".
    А вот аргументированных "почему этим проектом не стоит пользоваться" или тем более альтернатив или еще чего в том же духе ДО – днем с огнем не сыщешь.

     
     
  • 4.16, . (?), 16:54, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Во-вторых, а нахрена поддерживать дерьмопроект?
    > Что и как поддерживать и как именно к чему относится – сугубо ваше личное дело.

    это, если кто не понял, был риторический вопрос.
    Поддержка (деньгами или патчами) libressl могла бы (уже, пожалуй, надо говорить в прошедшем условном) стать большей, если бы они делом доказали, что они лучше. И только так это работает в мире софтописательства - стулья вперед денег.
    А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!
    Это "достижение" привлечет массу донейта, патчей и новых восторженных пользователей.

    > А вот аргументированных "почему этим проектом не стоит пользоваться"

    тут, собственно, то же самое - заплатите за анализ, будет анализ.
    Мое мнение - что не стоит. Но мне неинтересно никого убеждать (собственно, я крайне заинтересован в том, чтобы побольше людей думали наоборот).

     
     
  • 5.29, Анонимм (??), 02:45, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >А нынешний фейл - к сожалению, только подтверждает, что ни на что хорошее они, увы, не способны. "зато мы победили ssl3" - при ограниченности ресурсов, отличные приоритеты, Тео!

    Ну это если оценивать в стиле белки-истерички. Давай лучше сделаем сумму всех уязвимостей обнаруженных в libressl и openssl со времен форка и посмотрим.

    OpenSSL: 5 high, 28 medium, 10 low
    Total: 36
    LibreSSL 0 high, 15 medium, 7 low
    Total: 22

    После этого есть повод не доверять OpenSSL и не поддерживать его чем-либо тем более.

     
  • 5.32, б.б. (?), 03:27, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А нынешний фейл - к сожалению

    существует только в твоей голове :)

    ну и заодно показывает средний уровень развития среднего опеннет-аналитика :)

     
  • 4.38, i_stas (ok), 17:57, 18/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вумный!" после таких "фейлов".

    /скажу за всех/ Нам плевать.

    До "таких фейлов" вы нас оскорбляли за то, что мы вас предупреждали.
    Теперь вы нас оскорбляете за то, что вы не верили нам прежде.

    Продолжайте оскорбления.

     

  • 1.15, Аноним (-), 16:39, 16/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.
     
     
  • 2.17, Аноним (-), 18:39, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как будто им спать мешает тот факт, что какой-то канадец много о себе думает.

    Всё бы ничего, если бы он много думал о себе в соцсетях и не лез в реальный мир.

    Но он почему-то считает, что он отличный лидер и исключительно компетентен в информационной безопасности, хотя второе не соответствует действительности и никогда не соответствовало.

    Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.

     
     
  • 3.18, Аноним (-), 20:33, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время. То же и про LibreSSL.
     
     
  • 4.19, Аноним (-), 20:49, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в дефолтном опененке можно использовать для удаленного неавторизированного выполнения кода. Остальное не считается.
     
     
  • 5.22, Аноним (-), 21:23, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Только следует учитывать, что "уязвимостями" там называют только те дыры, которые в
    > дефолтном опененке можно использовать для удаленного неавторизированного выполнения
    > кода. Остальное не считается.

    Ага. Причем, как только админ запускает минимальный набор служб (хотя бы MTA), число дыр значительно увеличивается. Но их уже никто не считает, потому что это невыгодно для репутации.

     
  • 5.24, Аноним (-), 21:49, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне все равно, что там называют уязвимостями. Я подразумевал обычное значение слова.
     
  • 4.20, Аноним (-), 21:19, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.

    Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние EPIC PWN дыры в opensmtpd.

     
     
  • 5.25, Аноним (-), 21:56, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так давай по другой методике. В любом случае OpenBSD безопаснее.

    https://web.nvd.nist.gov/view/vuln/search-results?query=postfix&search_type=al

     
  • 5.34, б.б. (?), 04:00, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Плохо спишь по ночам? OpenBSD может и не абсолютно безопасная ось, но между тем самая безопасная, если судить по количеству обнаруженных уязвимостей за все время.
    > Маркетологическое вранье. По их "методике" подсчета, например, не учитываются недавние
    > EPIC PWN дыры в opensmtpd.

    ты уже сломал хоть одну из этих "дыр"? или кто-нибудь сломал?

     
  • 3.33, б.б. (?), 03:29, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё бы ничего, если бы он много думал о себе в соцсетях
    > и не лез в реальный мир.
    > Но он почему-то считает, что он отличный лидер и исключительно компетентен в
    > информационной безопасности, хотя второе не соответствует действительности и никогда
    > не соответствовало.

    неужели он к тебе в окно лезет? :)


    Нет, детка. Тео отличный лидер и исключительно компетентен. И выпускает успешный нишевой продукт, который у всех на слуху, уже 20 лет. И тебя это бесит. "Баба Яга - против"

     
  • 3.39, Аноним (-), 16:15, 19/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Собственно, LibreSSL занимался Ted Unangst, тоже слишком много о себе думающий.

    Ей занимался и занимается целый ряд людей (кое-кто из них впоследствии стал коммиттером OpenBSD): Bob Beck, Brent Cook, Doug Hogan, Joel Sing...

     
  • 2.21, Аноним (-), 21:20, 16/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут прям какая-то специально обученная команда хейтеров орудует. Как будто им спать
    > мешает тот факт, что какой-то канадец много о себе думает.

    Вы так говорите, как будто этот канадец не такой же хейтер :)

     
  • 2.35, б.б. (?), 04:04, 17/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Они ещё  Королёва научат в космос летать :)

    Когда картина мира маахонька и ууузенькка, тогда кажется, что всё понятно :)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру