The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от opennews (ok) on 17-Ноя-10, 11:58 
Представлены (http://marc.info/?l=openssl-announce&m=128993064807738&w=2) корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8p и 1.0.0b (http://www.openssl.org/) с устранением опасной уязвимости (http://marc.info/?l=openssl-announce&m=128992699401945&w=2), которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере.


Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (http://ru.wikipedia.org/wiki/%D0%A1%D0%B...) (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel).

URL: http://marc.info/?l=openssl-announce&m=128993064807738&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=28683

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от zazik (ok) on 17-Ноя-10, 11:58 
Не силён в OpenSSL'е - что такое внутренний кеш? У courier-imap есть некий кеш(TLS_CACHEFILE) - это оно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от samm email(ok) on 18-Ноя-10, 02:07 
курьер не многопоточен - так что ему пофиг
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от zazik (ok) on 18-Ноя-10, 10:16 
> курьер не многопоточен - так что ему пофиг

Вот так и перебирай по одной программе. Написали бы список хотя бы известных программ.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от uldus (ok) on 18-Ноя-10, 12:04 
>> курьер не многопоточен - так что ему пофиг
> Вот так и перебирай по одной программе. Написали бы список хотя бы
> известных программ.

apt-cache rdepends libssl0.9.8
выводит почти 700 пакетов.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от zazik (ok) on 18-Ноя-10, 13:01 
>>> курьер не многопоточен - так что ему пофиг
>> Вот так и перебирай по одной программе. Написали бы список хотя бы
>> известных программ.
> apt-cache rdepends libssl0.9.8
> выводит почти 700 пакетов.

И многие из них многопоточны?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от daemonpnz (ok) on 17-Ноя-10, 12:03 
в генту уже пришло обновление
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +2 +/
Сообщение от esc on 17-Ноя-10, 16:22 
не только обновление, но и openssl-1.0.0b-r1 патченый добавили http://packages.gentoo.org/package/dev-libs/openssl
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от cvsup (ok) on 17-Ноя-10, 12:18 
Так спешили с исправлением, что наделали новых ошибок
http://cvs.openssl.org/chngview?cn=19998
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 17-Ноя-10, 13:26 
OpenVPN тоже подвержен уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Sylvia (ok) on 17-Ноя-10, 13:44 
надеюсь что sshd не использует внутренний кеш openssl'a ? иначе будет как с telnetd ситуация
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 17-Ноя-10, 13:52 
openssh не многопоточный.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 17-Ноя-10, 13:59 
apt-cache rdepends openssl|wc
87

openvpn вроде многопоточный, интересно уязвим он или нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Sem email(??) on 17-Ноя-10, 15:28 
ничего подобного. Нет даже намека на многопоточность:
% ldd /usr/local/sbin/openvpn
/usr/local/sbin/openvpn:
        libssl.so.6 => /usr/lib/libssl.so.6 (0x28100000)
        libcrypto.so.6 => /lib/libcrypto.so.6 (0x28148000)
        liblzo2.so.2 => /usr/local/lib/liblzo2.so.2 (0x282a4000)
        libc.so.7 => /lib/libc.so.7 (0x282c3000)

Это 2.1.3.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от non anon on 17-Ноя-10, 15:41 
$ ldd /usr/sbin/openvpn
        linux-gate.so.1 =>  (0xb76fd000)
        libpkcs11-helper.so.1 => /usr/lib/libpkcs11-helper.so.1 (0xb76e0000)
        libssl.so.0.9.8 => /usr/lib/i586/libssl.so.0.9.8 (0xb769e000)
        libcrypto.so.0.9.8 => /usr/lib/i586/libcrypto.so.0.9.8 (0xb755e000)
        liblzo2.so.2 => /usr/lib/liblzo2.so.2 (0xb753e000)
        libdl.so.2 => /lib/libdl.so.2 (0xb753a000)
        libpthread.so.0 => /lib/libpthread.so.0 (0xb7522000)
        libc.so.6 => /lib/libc.so.6 (0xb73e4000)
        libz.so.1 => /usr/lib/libz.so.1 (0xb73cf000)
        /lib/ld-linux.so.2 (0xb76fe000)
$ /usr/sbin/openvpn --version
OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Developed by James Yonan
Copyright (C) 2002-2008 Telethra, Inc. <sales@openvpn.net>

(Debian Stable)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Sem email(??) on 17-Ноя-10, 15:57 
Да, забавно. На фре собирается без USE_PTHREAD.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 17-Ноя-10, 17:42 
так если смотреть и exim не подвержен, и php5 не подвержен, и perl собранный без тредов...
выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было на них ориентироваться и решить обновляться и подхватывать свежие баги или подождать еще.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от zazik (ok) on 18-Ноя-10, 09:42 
> так если смотреть и exim не подвержен, и php5 не подвержен, и
> perl собранный без тредов...
> выложили бы хоть одно два приложения подверженных уязвимости, что бы можно было
> на них ориентироваться и решить обновляться и подхватывать свежие баги или
> подождать еще.

Да уж, "огласите весь список, пжалста". А то непонятно, кто конкретно подвержен уязвимости.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Гиперактивный Троль ака Аноним on 17-Ноя-10, 14:07 
Обновляться не спешу. Потому, что я вообще никогда не спешу обновляться и вообщем то не обновляюсь никогда. но в данном случае настораживает OpenVPN, т.к. его я изначально поднимал для обеспечения безопасности. Кто узнает подвержен ли он уязвимости, будьте добры, отпишите.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 18-Ноя-10, 06:20 
В Ubuntu уже пришло обновление
https://launchpad.net/ubuntu/+source/openssl/0.9.8o-1ubuntu4...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 18-Ноя-10, 10:37 
А в Arch Linux обновление пришло еще вчера (с патчем): http://www.archlinux.org/packages/core/x86_64/openssl/
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Vladimir (??) on 19-Ноя-10, 15:43 
А под фряху нет? Че-то я очкую.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление OpenSSL 0.9.8p и 1.0.0b с устранением опасной уяз..."  +/
Сообщение от Аноним (??) on 21-Ноя-10, 05:42 
OpenSSH как я понимаю не дыряв
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру