The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление OpenSSL 3.0.1 с устранением уязвимости

15.12.2021 18:52

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.1 и 1.1.1m. В версии 3.0.1 устранена уязвимость (CVE-2021-4044), также в обоих выпусках исправлено около десятка ошибок.

Уязвимость присутствует в реализации клиентов SSL/TLS и связана с тем, что библиотека libssl некорректно обрабатывает отрицательные значения кодов ошибок, возвращаемые функцией X509_verify_cert(), вызываемой для проверки сертификата, переданного клиенту сервером. Отрицательные коды возвращаются при возникновении внутренних ошибок, например, в случае невозможности выделить память под буфер. В случае возвращения подобной ошибки последующий вызов функций ввода/вывода, таких как SSL_connect() и SSL_do_handshake(), приведёт к возвращению неуспешного завершения и кода ошибки SSL_ERROR_WANT_RETRY_VERIFY, который должен возвращаться только если приложение раннее совершало вызов SSL_CTX_set_cert_verify_callback().

Так как большинство приложении не вызывают SSL_CTX_set_cert_verify_callback(), появление ошибки SSL_ERROR_WANT_RETRY_VERIFY может быть неверно истолковано и привести к аварийному завершению, зацикливанию или другим некорректным реакциям. Наибольшую опасность проблема представляет в комбинации с другой ошибкой в OpenSSL 3.0, приводящей к возникновению внутренней ошибки при обработке в X509_verify_cert() сертификатов без расширения "Subject Alternative Name", но с привязками к именам в ограничениях использования. В этом случае атака может привести к зависящим от приложений аномалиям при обработке сертификатов и установке сеансов TLS.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.0.0
  3. OpenNews: Обновление OpenSSL 1.1.1l с устранением двух уязвимостей
  4. OpenNews: Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
  5. OpenNews: Void Linux возвращается с LibreSSL на OpenSSL
  6. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56352-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Анонн (?), 20:12, 15/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Ахаха, фикс уровня "Бог"
    if (i < 0)
        i = 0;
    С другой стороны, что ожидать от системы где все ошибки это просто int'ы...
     
     
  • 2.6, Онаним (?), 20:18, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты удивишься, но почти в любой системе ВСЕ ошибки - это просто int'ы.
    Даже если их сахарком скрыли.
     
     
  • 3.10, Анонн (?), 20:27, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже давно не удивляюсь, просто печалюсь что это все работает чисто потому что  ̶з̶в̶е̶з̶д̶ы̶ ̶с̶о̶ш̶л̶и̶с̶ь̶  было четное количество багов.
    Сахарок сахарку рознь - если компилятор может по рукам настучать за сравнения ошибок разных типов, когда нормально определены диапазоны ошибок или когда кастить ошибки нужно руками - уже это не дает возможность не наплодить кучу багов.
     
     
  • 4.28, Аноним (28), 06:21, 18/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ошибки на базе интов самые быстрые в обработке, логичнее использовать enum.

    ошибки на базе исключений самые медленные.

     
  • 2.21, ыы (?), 21:16, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, все что "какая-то непонятная фигня" - это "без ошибок" получается...
     
  • 2.22, DEF (?), 22:28, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто так программирует? Вот как надо:

    i = max(0, i);

     
     
  • 3.23, ms is piece of s (?), 23:41, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этим ты только ускоришь глобальное потепление.
    Вот разработчики OpenSSL не только о своем удобстве думают, возможно, они даже плакали отказываясь в очередной раз от прекрасного в угоду продления жизни на Земле.
     
  • 3.24, ms is piece of s (?), 23:48, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Соответсвенно, чем больше "зелени", ой, "зеленых" технологий, тем лучше.
     

  • 1.25, OpenEcho (?), 01:26, 16/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > библиотека libssl некорректно обрабатывает отрицательные значения кодов ошибок, возвращаемые функцией X509_verify_cert(), вызываемой для проверки сертификата

    "Не вздумайте писать сами криптографию, - этим должны заниматься только профессионалы ! "... которые даже коды ошибок (!!!) обрабатывать не могють...

     
  • 1.26, Аноним (26), 03:01, 16/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уязвимость обновили?
     
  • 1.27, iZEN (ok), 22:22, 17/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    % cd /usr/src/ && make BATCH_DELETE_OLD_FILES=true delete-old delete-old-libs
    >>> Removing old files (only deletes safe to delete libs)

    /etc/regdomain.xml
    /usr/share/openssl/man/man3/d2i_X509_bio.3.gz
    /usr/share/openssl/man/man3/d2i_X509_fp.3.gz
    /usr/share/openssl/man/man3/i2d_X509_bio.3.gz
    /usr/share/openssl/man/man3/i2d_X509_fp.3.gz
    ...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру