форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Компрометация SSL сертификатов из-за уязвимости, о..."

Сообщение от opennews (ok) on 17-Июн-08, 20:53

Исследование (http://news.netcraft.com/SSL-survey), проведенное компанией Netcraft в июне выявило значительное количество SSL сертификатов, на которые наложила отпечаток недавно обнаруженная уязвимость (https://www.opennet.ru/opennews/art.shtml?num=15846) в пакете Debian OpenSSL. Не остались в стороне ни Extended Validation SSL сертификаты, ни сертификаты, принадлежащие банкам. Пораженные сертификаты позволяют злоумышленникам создавать сайты, которые используют имитации легитимных сертификатов. В случае EV сертификатов, при входе на такой сайт его адрес будет подсвечен зеленым, даже если использован клонированный сертификат. С точки зрения взломщика, основная трудность заключается в подавлении сообщения браузера о том, что адрес сайта в сертификате не совпадает с адресом, который вводит пользователь. В этом случае взломщику необходимо как-то подделать результат DNS-запроса или завладеть ресурсами локальной сети пользователя. 13 мая Debian выпустил предупреждение, сообщающее об уя... URL: http://news.netcraft.com/archives/2008/06/12/ssl_certificate... Новость: https://www.opennet.ru/opennews/art.shtml?num=16523

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."

Сообщение от belkin (ok) on 17-Июн-08, 20:53

Debian'овцы самые умные в чужом софте ковыряться? Мрак.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от prapor (??) on 18-Июн-08, 02:58
	Нет, это разработчики OpenSSL самые умные, чтобы отклонить патч не пояснив почему он не корректен. Мейнтейнеры просто посчитали что нашли ошибку и исправили.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от Michael Shigorin (ok) on 18-Июн-08, 11:55
	Нет, это таки дебиановцы самые умные -- забыли правило don't fix what ain't broke и решили, что умней апстрима.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от User294 (ok) on 18-Июн-08, 12:02
	>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what >ain't broke и решили, что умней апстрима. Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd 1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - Д`Артаньян".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от pavel_simple (??) on 18-Июн-08, 12:12
	>>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what >>ain't broke и решили, что умней апстрима. > >Вот это у дебианщиков немного бесит если честно.Например они в stable таскают >lighttpd 1.4.13 версии с секурити фиксами в то время как все >вменяемые люди юзают .18 давно.Может конечно они самые умные и за >стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще >куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге >дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - >Д`Артаньян". на вкус и цвет.... а вообще РЫБЯТЫ -- долго мы будем ещё это обсуждать? -- всё ведь просто "Не ошибается тот, кто ничего не делает". Да есть косяк, зато его очень быстро починили и предоставили в кратчайший срок инструменты для исправления/тестирования пользователям. Забыть уж давно пора... ан нет ... Debian то, Debian сё... а главный вопрос заключается в том что "Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутствии подобных ошибок в нём?"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от favourite (??) on 19-Июн-08, 06:55
	>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd >1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может >конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже, >википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге >дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - >Д`Артаньян". Если честно, сильно бесит когда трындят на форуме о чём не знают! Позиция дебианщиков (почитай дебиан-полиси) в данном случае не в том, что .18 нестабильная версия, а в том что в stable принципиально не меняется версия. Ибо в апстриме может , к примеру, формат сонфигурационного файла измениться или название каких либо опций и тп. В этом случае после aptitude update && aptitude upgrade получаем ситуацию в которой " вчера всё работало, проапдейтился - работать перестало!" С другой стороны. Предположим, я год назад настроил тот же lighttpd v1.4.13 так, как мне нужно. С какого перепугу нужно апгрейдить на новую версию? Секюрити тим выпускает исправления безопасности, а для остального в силе принцип "работает -не трожь!" Если же мне нужны какие-то фичи, реализованные в более новой версии - можно сбэкпортить практически любой пакет за пять минут ( на крайняк взять готовый на backports.org) При этом я явно беру на себя все заботы по безопасности этого пакета на себя.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."

Сообщение от curufinwe (ok) on 17-Июн-08, 21:14

баян

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от Аноним (??) on 17-Июн-08, 22:08
	>баян Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на Debian серверах. Это не баян, а п%&^#$.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от crypt (??) on 18-Июн-08, 00:21
	>>баян > >Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на >Debian серверах. Это не баян, а п%&^#$. Обычно клиент сам генерирует пару ключей, замем открытый ключ в виде запроса на сертификат отправляет в СА где ему выпускают и продают сертификат. В данном случае "попали" клиенты, которые генерировали пары ключей для своих сайтов у себя, с использованием кривого OpenSSL. "Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."
	Сообщение от spamtrap (ok) on 18-Июн-08, 10:16
	>"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины. та это понятно, никто вроде и не спорит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]