The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление OpenSSL с устранением 14 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от opennews (ok) on 22-Сен-16, 20:40 
Доступны (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...) корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i (https://www.openssl.org/), в которых отмечено 14 уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...), одной из них (CVE-2016-6304) присвоен высокий уровень опасности. Уязвимость CVE-2016-6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти.


Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе  согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией "no-ocsp". Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках.


В LibreSSL проблема проявляется (http://marc.info/?l=libressl&m=147455252017113&w=2) только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд.


URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Sept...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45195

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL с устранением 14 уязвимостей"  –4 +/
Сообщение от Michael Shigorin email(ok) on 22-Сен-16, 20:40 
http://packages.altlinux.org/openssl10
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление OpenSSL с устранением 14 уязвимостей"  +3 +/
Сообщение от Аноним (??) on 22-Сен-16, 21:22 
Возьми с полки пирожок.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от vantoo (ok) on 22-Сен-16, 21:48 
Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты вместе с ключами автоматически отправляются куда надо.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от Michael Shigorin email(ok) on 23-Сен-16, 23:57 
> Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты
> вместе с ключами автоматически отправляются куда надо.

О, а давайте Вы её в исходниках (или того почётней -- бинарниках) найдёте и всей правдою припечатаете нас со злокозненными коллегами к стенке?  Ну или разглядывая tcpdump уж на самый крайняк.  Заодно за спеца сойдёте, а не гадалку на кофейной гуще.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от Ilya Indigo (ok) on 22-Сен-16, 21:36 
А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?
Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от тигар (ok) on 22-Сен-16, 22:04 
наверное это сложнее нежели поправить 1-2 байта в файлике по которому миша построит свежую версию openssl и напишет комментом ссылку на Нужный Пакет для АрхиНужного дистрибутива.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление OpenSSL с устранением 14 уязвимостей"  +7 +/
Сообщение от аноним сегодня on 22-Сен-16, 22:41 
Ну вот, опять наехали на Михаила. Михаил, например, как модератор-информатор очень хорош. Всегда проверяет ip подозрительных авторов перед их удалением и отсылает инфу куда нужно по мере необходимости. Просто немного не совсем своим делом он вдогонку ещё занимается. Пакеты какие-то. Не нужно распыляться, Михаил. Я считаю, каждый должен быть на своём месте.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от Кулак on 23-Сен-16, 05:42 
Мы еще потерпим, но потом в овощной отдел переместим Михаила.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от vantoo (ok) on 23-Сен-16, 13:45 
Да он вообще очень трудолюбивый и увлеченный своим делом человек. Не раз бывало перейду я случайно по какой-то ссылке, или через Гугл на любой новостной сайт, который я в первый раз вижу, и сразу под статьей в комментах попадается знакомый ник со знакомой фоткой, естественно втирающий про внешних и внутренних врагов и мудрый курс непорочного правительства во главе с Самим. А сколько мне на Ютюбе в комментах под видео попадался данный персонаж, и не счесть. И главно, все угрожает всем, согражданам 37-м годом, гражданам других стран оккупацией, с последующим вешанием на столбах. Судя по всему очень грозный в жизни человек, наверняка гора мышц и меткий пристрелянный глаз. Вот только те, кто 37-го года хотят, думают, что с наганом будут именно они, а ведь может оказаться так, что наган окажется у их затылка. История говорит, что ни один нарком внутренних дел СССР свой смертью не умер.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Обновление OpenSSL с устранением 14 уязвимостей"  –4 +/
Сообщение от Michael Shigorin email(ok) on 23-Сен-16, 23:49 
> Да он вообще очень трудолюбивый и увлеченный своим делом человек.
> Не раз бывало перейду я случайно

Да Вы, получается, очень трудолюбивый и увлеченный своим делом человек -- причём в Вашем деле явно тоже попадаются куски вроде "пакет/исошка собирается, надо проверить, а переключаться на вон ту задачку сейчас голова ещё/уже не варит". :)

Помнится, когда-то молодняк вроде меня примерно так же изумлялся обилию рассказов Бутенко про CommuniGate и не только в f.r.l -- а он между сборками так развлекался (по крайней мере с его же слов)...

> Судя по всему очень грозный в жизни человек, наверняка гора мышц
> и меткий пристрелянный глаз.

Не, не гора.  И очкарик.  Но тем, кто хотел проверить, это до сих пор не помогало.

PS: ссылку привёл в т.ч. ради списка CVE, а спасибо за оперативную сборку -- glebfm@.

PPS: "гражданам других стран оккупацией" -- что-то не припоминаю я такого.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Обновление OpenSSL с устранением 14 уязвимостей"  –6 +/
Сообщение от Аноним (??) on 24-Сен-16, 02:43 
Дорогой ребенок, когда ты хочешь кого-то опорочить, постарайся после каждого своего высера писать ссылки на доказательства, иначе самому последнему дурачку в этих ваших Интернетах станет понятно, что ты врунишка с маленьким-маленьким чувством собственного достоинства.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Обновление OpenSSL с устранением 14 уязвимостей"  –3 +/
Сообщение от Аноним (??) on 24-Сен-16, 02:44 
Написано к https://www.opennet.ru/openforum/vsluhforumID3/109194.html#16
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от тигар (ok) on 24-Сен-16, 09:08 
> Написано к https://www.opennet.ru/openforum/vsluhforumID3/109194.html#16

в т.н. хохлосрачах поищи, я мишку в комментах ютупа видал тоже, например.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

33. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Crazy Alex (??) on 25-Сен-16, 11:02 
Ты всерьёз предлагаешь эту его хрень собачью коллекционировать?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

9. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от iPony on 23-Сен-16, 06:19 
> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?

Ну позерство с цифрами - это конечно одно...
Ну вот в 1.1 в OpenSSL наменяли API, поэтому да - не всё так просто.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от Аноним (??) on 23-Сен-16, 11:53 
Вот поэтому nixos / nixpkgs рулит.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

35. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Michael Shigorin email(ok) on 26-Сен-16, 19:23 
> А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?

Не пришлось долго ждать https://www.opennet.ru/opennews/art.shtml?num=45215

> Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?

Майнтейнер говорит, что уехало и ABI, и API, и с ней не собирался даже OpenSSH.
"Рано", мол.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Обновление OpenSSL с устранением 14 уязвимостей"  +2 +/
Сообщение от Нет on 23-Сен-16, 09:44 
МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг, ща мы с потсонами с 7Б затралим шыгорина гггг".

Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте остальную аудиторию.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от Клыкастый (ok) on 23-Сен-16, 11:00 
Горящее школоло - неотъемлемая часть опеннета и источник хорошего настроения. Я вот не понимаю юмора Митрофанова и не согласен с некоторыми пунктиками Шигорина, но как от них полыхает у детей - бесценно. Так что не стОит школоту вразумлять, да и бесполезно это...
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от Michael Shigorin email(ok) on 23-Сен-16, 23:51 
> Так что не стОит школоту вразумлять, да и бесполезно это...

Ну почему, меня же разные люди по разным поводам успешно вразумляли -- помните, может, пикировки с BSD-шниками а-ля never@ лет десять тому?  А здесь нашлись толковые и спокойные, которых было за что уважать и о чём послушать.

Что до несогласия -- так это ж нормально :)  Разные люди, разные взгляды, тараканы тоже...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Аноним (??) on 24-Сен-16, 02:48 
Нормально - это когда мнение обоснованно и оппонент готов обосновывать его, а не переходить на личности. Школьные же вбросы из серии "играй гормон - завтра в баню" смысла не имеют.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление OpenSSL с устранением 14 уязвимостей"  +2 +/
Сообщение от Аноним (??) on 24-Сен-16, 03:09 
Знаешь сколько вас таких, которые не понимают? Имя вам - легион. Но вместо того, чтобы спросить, вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете. А так же глубокомысленные выводы из этого. И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.

Считай это подарком, коко.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Клыкастый (ok) on 26-Сен-16, 10:21 
> Знаешь сколько вас таких, которые не понимают?

Шуток Митрофанова? Думаю, хватает.

> Но вместо того, чтобы спросить,

Объяснить шутку? Даже если её объяснят, она перестаёт быть шуткой.

> вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете.

А ты - страдай.

> И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.

Походу ещё и на смысле ударение надо делать - не все дегенераты понимают, о чём речь.

> Считай это подарком

Оставь себе, у тебя и так немного.


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

12. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от Наркоман on 23-Сен-16, 11:52 
Особенно в комментариях под новостями, связанными с политикой или феминистками заметно какой сайт хороший. Ещё и модераторы сами огонька поддают.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от тигар (ok) on 23-Сен-16, 11:54 
> МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг,
> ща мы с потсонами с 7Б затралим шыгорина гггг".
> Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде
> как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте
> остальную аудиторию.

видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl в пределах версии и правда проще, нежели сменить версию openssl. а для "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Обновление OpenSSL с устранением 14 уязвимостей"  –2 +/
Сообщение от Michael Shigorin email(ok) on 23-Сен-16, 23:53 
> видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl
> в пределах версии и правда проще, нежели сменить версию openssl. а для
> "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

Есть ещё моментик насчёт узнать и подготовиться.  Впрочем, фряшный майнтейнер тоже наверняка знал заранее.  Вы -- вряд ли.  А я слышал голосом, но соблюдал эмбарго. :)

PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  Можете изрядно удивиться по крайней мере по одному случаю.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от Аноним (??) on 24-Сен-16, 03:16 
Обычно детям категорически не нравится, что говорит Шигорин. Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри. Но. Возразить ему - это во-первых моветон, а главное это так страшно, что не один чемпион ночной вазы на это, конечно, не подпишется. Поэтому только минусы.

Для друзей карапуза количество минусов гораздо важней всего остального на свете.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

32. "Обновление OpenSSL с устранением 14 уязвимостей"  –1 +/
Сообщение от Michael Shigorin email(ok) on 24-Сен-16, 12:40 
> Обычно детям категорически не нравится, что говорит Шигорин.

Значит, надо как-то применяться и к детям, контакт-то и впрямь скорее утерян.

> Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри.

Не, "тигар" явно не карапуз, он оппонент :)  Но самонадеянный, не в теме, потому и не знает как минимум про не столь давнее изменение форматирование даже старых веток openssl, доставившее немало головняка на ровном месте тем, у кого развесистые патчсеты...

И чтоб два раза не вставать, отвечу ему сразу на #31, раз сам неспособен спросить altlinux openssl patches у ближайшего поисковива: http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/pat...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от тигар (ok) on 24-Сен-16, 09:15 
> PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  
> Можете изрядно удивиться по крайней мере по одному случаю.

svn diff -c414534, примеру. по ports@head.
в вашем ненужном альте, насколько я помнить, rpm. нужно дофига знаний чтобы в spec файле поменять циферку и пересобраться?:-) или у вас есть рукожо^Wспециалисты, которые падчат опенссл под альт?;)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

7. "Обновление OpenSSL с устранением 14 уязвимостей"  –2 +/
Сообщение от Аноним (??) on 23-Сен-16, 01:58 
Мыши плакали кололись, но продолжали OpenSSL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление OpenSSL с устранением 14 уязвимостей"  +1 +/
Сообщение от YetAnotherOnanym (ok) on 23-Сен-16, 22:20 
Можно ещё погрызть ободранную до блеска косточку LibreSSL.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Аноним (??) on 24-Сен-16, 02:55 
> Можно ещё погрызть ободранную до блеска косточку LibreSSL.

Не понял, а где же комментарии инфантов, что дескать комментатор должен заткнуться и сделать форк openssl? Осень убила опеннет.

Даешь осенние каникулы!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Обновление OpenSSL с устранением 14 уязвимостей"  +/
Сообщение от Аноним (??) on 24-Сен-16, 04:50 
Мсье имеет конкретные претензии, основанные на опыте, или так, слышал звон?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру