Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей"	+/–
Сообщение от opennews (??), 25-Мрт-21, 23:30
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54833
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Мрт-21, 23:30	+5 +/–
Спасибо за информацию, уже обновился. >вызова краха сервера Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #7, #9, #24

2. Сообщение от Аноним (1), 25-Мрт-21, 23:32	+2 +/–
>не в фаворе ПОПАЛИ В ОПАЛУ вместе с редхатом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

3. Сообщение от пох. (?), 25-Мрт-21, 23:36	+2 +/–
> Проблема проявляется только на серверах с поддержкой TLSv1.2 Это прекрасно, ящетаю. Кто там верещал что 1.1 немодно и немолодежно? Нате, жрите.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

4. Сообщение от Аноним (4), 25-Мрт-21, 23:40	+4 +/–
У нас тут TLSv1.3 как бы в ходу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #19

5. Сообщение от Аноним (5), 25-Мрт-21, 23:45	–2 +/–
Доброе утро товарищ, 1.3 уже несколько лет назад ввели
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #20

6. Сообщение от пох. (?), 25-Мрт-21, 23:49	–7 +/–
А, у вас уже вообще сайт ничем, кроме еще недописанной версии хромонога не открывается? Ну ок, вам придется еще недельку подождать (в 1.3 нет renegotiation в принципе, макакеры не осилили - но они еще много чего неосилили, скоро найдется)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

7. Сообщение от Аноним (-), 25-Мрт-21, 23:50	–10 +/–
За себя пожалуйста извольте говорить, неуважаемый. Поразвелось самозванцев про фавор рассуждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним (8), 25-Мрт-21, 23:56	+1 +/–
> (в 1.3 нет renegotiation в принципе, макакеры не осилили А это там вообще зачем? А, чтобы атакующим удобнее атаковать было...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10

9. Сообщение от White Crow (?), 25-Мрт-21, 23:57	+6 +/–
>Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. С этими дегенератами давно было всё ясно, но теперь да, порядочные люди будут их за версту обходить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12

10. Сообщение от пох. (?), 26-Мрт-21, 00:01	–3 +/–
Ну конечно же. Вообще все немодное-немолодежное - оно только для этого. Вот модный и молодежный 1.3 - он швятой, швятой. Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном early-data), то еще чего похуже, но "это другое".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15

12. Сообщение от IRASoldier_registered (ok), 26-Мрт-21, 00:18	–10 +/–
Конечно, ведь важно не качество софта и операционки, тут же свободный софт, а значит важнее всего - отношение к Столлману!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13, #21, #22, #36, #42

13. Сообщение от White Crow (?), 26-Мрт-21, 00:38	+8 +/–
Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #14

14. Сообщение от Аноним (-), 26-Мрт-21, 00:44	–1 +/–
> Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул? Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18, #33

15. Сообщение от Аноним (-), 26-Мрт-21, 00:48	+4 +/–
> Ну конечно же. Вообще все немодное-немолодежное - оно только для этого. С учетом списка атак на 1.1 и ко - как-то так. А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. И вот на цатый год ее существования кто-то наконец придумал как это можно поюзать. Только остальным что-то не понравилось. > Вот модный и молодежный 1.3 - он швятой, швятой. Ну, он лучше чем было до этого. Набитые шишки заставили включать мозги хоть немного. > Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном > early-data), то еще чего похуже, но "это другое". И, конечно, ты не трепло и подгонишь пруфлинк?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #28

16. Сообщение от Аноним (-), 26-Мрт-21, 00:52	+1 +/–
>>не в фаворе > ПОПАЛИ В ОПАЛУ вместе с редхатом Тихо, сам с собою, правою рукою... Анонимус(1) пытался косить под нескольких, но двигун опеннета жестоко отклеил его ус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #17

17. Сообщение от Аноним (1), 26-Мрт-21, 01:13	+2 +/–
Мимо. Я ж не ты. Просто дополнил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от White Crow (?), 26-Мрт-21, 01:15	+3 +/–
>Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки. Ты пьяный что ли? Какие проприетарщики? Какая война с "GPLщиками"? Да что ты, чёрт побери, такое несёшь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26

19. Сообщение от Аноним (19), 26-Мрт-21, 01:20	+/–
Забавно, что OpenNet работает на TLS 1.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #46

20. Сообщение от Аноним (20), 26-Мрт-21, 01:20	+4 +/–
Кому и куда ввели ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

21. Сообщение от kusb (?), 26-Мрт-21, 02:26	+/–
Ну во всех проектах подписавшихся против Столлмана возможны потениальные проблемы с безопасностью. Троян посадить я точно не хочу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30

22. Сообщение от псевдонимус (?), 26-Мрт-21, 04:10	–1 +/–
Они и до этого отличались гнусностями, например подменой пакетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

23. Сообщение от Аноним (23), 26-Мрт-21, 06:39	+/–
> Проблема внесена в появившейся в OpenSSL 1.1.1h Это проблемы только тех кто обновился.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

24. Сообщение от Аноним (24), 26-Мрт-21, 08:55	+/–
> а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. А вы смотрели фильм "Матрица"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от Аноним (24), 26-Мрт-21, 08:58	+1 +/–
> Это проблемы только тех кто обновился. Как будто в предыдущих версиях OpenSSL небыло CVE, ага... https://repology.org/project/openssl/cves
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (26), 26-Мрт-21, 09:22	–5 +/–
Вас, любителей "свобод" за километр видно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

27. Сообщение от Аноним (27), 26-Мрт-21, 09:35	+1 +/–
Забавно как у кого-то цифра 3 в номере версий становится неактуальной и приходится переходить на 40, а тут БУКВА k не создаёт проблем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

28. Сообщение от пох. (?), 26-Мрт-21, 11:31	–3 +/–
> С учетом списка атак на 1.1 и ко - как-то так. ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0 В варианте когда настройки хотя бы на одном конце сделаны не _специально_ (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать. > А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, зачем альтернативно-одаренными включенной. Но виноват, безусловно, неправильный протокол. > Ну, он лучше чем было до этого. Ты, конечно не трепло...хотя конечно ты трепло. А гуглить про early-data я предоставлю тебе. И вот это - не уязвимость ненужной реализации, а именно by design.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #44

30. Сообщение от IRASoldier_registered (ok), 26-Мрт-21, 12:28	+/–
Обнови шапочку из фольги, эта порвалась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #31

31. Сообщение от kusb (?), 26-Мрт-21, 12:32	+1 +/–
> Обнови шапочку из фольги, эта порвалась. Поздно, крыша уже едет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от YetAnotherOnanym (ok), 26-Мрт-21, 13:03	–1 +/–
Первая доставила. Классное такое ужесточение проверки - у тебя серт негодный, я его проверять не буду, проходи так. А за вторую пусть Фрактал скажет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

33. Сообщение от suffix (ok), 26-Мрт-21, 13:32	+3 +/–
Пожалуйста не надо упоминать свиней в негативном контексте !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

34. Сообщение от пох. (?), 26-Мрт-21, 16:04	–2 +/–
В этом плане opensslщики немодны и немолодежны - двадцать лет у них вообще были версии 0.что-то (вполне адекватные качеству кода) Но цифра перед буквой создаст тебе очень даже внятные проблемы, если ты сдуру поапгрейдишься на неправильную. Есть у нас такой интересный софт. И вот его писали - м-ки. Точнее, портили. Написал-то нормальный разработчик, только, гад, денег хотел. Жрать дерьмо у корпораций на зарплате - не хотел. Тварь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

35. Сообщение от пох. (?), 26-Мрт-21, 16:08	–2 +/–
Ты все неправильно понял - серт хороший, годный, правильная эллиптическая кривая, не кривая какая-то. А что мы его уже признали негодным потому что он подписан васяном - я уже забыла, стара стала, эклер этот... Проходи, проходи. > А за вторую пусть Фрактал скажет. Не отвлекай, он уже переписывает на совершенно безопастном от неинициализированных переменных языке. Уже написал CoC и readme.md
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от пох. (?), 26-Мрт-21, 16:10	+1 +/–
Ну слушай, откуда возьмется качество софта и операционки у борцунов за все хорошее и против всех плохих, список плохих уточните перед партсобранием? Они вряд ли вообще умеют кодить. Вот, на xml, разьве что. А, нет, там же копипастер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

42. Сообщение от GG (ok), 26-Мрт-21, 23:04	+/–
Никакого качества в дебиане уже лет десять как не осталось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #43, #47

43. Сообщение от пох. (?), 26-Мрт-21, 23:23	+/–
> Никакого качества в дебиане уже лет десять как не осталось ну если так считать - то и не было никогда до того. Был обычный gnu/linux с неописуемо уродливым пакетным менеджером и невероятно уродливым системным софтом поверх него. На самом деле, в дебиллиане единственное что есть - это огромное, по меркам других дистрибутивов, количество майнтейнеров. И многие из них действительно чего-то стоят. Напомните, кто сразу заткнул дырку в ведре с iscsi, а кто по сей день раздуплиться не может? Да, там простая копипаста-то не прокатывала, надо было уметь кодить хоть немножко. Ну и других локальных побед у дебиановских майнтейнеров есть (часть из них потом на халяву получает убунта). Одна беда - эти люди не входят в корытцеонные советы, они делом заняты. А у корыта, как обычно, собрался бесполезный хлам, с единственным скиллом прыганья по сцене на презентациях и форумах и писания в CoC.md.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (-), 27-Мрт-21, 02:13	+/–
> ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0 Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это? > В варианте когда настройки хотя бы на одном конце сделаны не _специально_ > (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать. Атакуется _канал_ и никому не интересно кто и почему дал маху. Успешная атака создает unexpected там где его быть не должно было, согласно "гарантиям" протокола. Кто именно из сторон оказывается в пролете - весьма зависит от конкретики что это было. А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет, трололо. Собссно бери и ssl-бампай готовенького. Остальные не сильно лучше. А в каком-нибудь 1.0 небось катит даже откровенный троллфэйс типа даунгрейда шифрования до какой-нибудь 40-битной дичи или суперсекурного MD5, который сейчас коллайдится вообще влет всеми желающими, после чего рассматривать его как защиту от чего-то - ну, э, лол. > именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, > зачем альтернативно-одаренными включенной. Как не имеющий? Фича ж протокола, "на всякий случай". Вот и заимплементили. А случай, вот, подвернулся. Да еще какой. Так то да, зачем оно "в крейсерском режиме" надо именно там, кто его знает. А, они еще сжатие данных там делали. ЧСХ с этим all inclusive тоже всплыли криптопроблемы, видите ли неконтролируемое взаимодействие алгоритмов зачастую только все подставляет. > Но виноват, безусловно, неправильный протокол. Все начлось с него - в нем зачем-то придумали ту фичу. Хоть оно нафиг не упало для заявленой задачи. > Ты, конечно не трепло...хотя конечно ты трепло. Типа, лучший способ защиты - нападение? :) > А гуглить про early-data я предоставлю тебе. И вот это - не > уязвимость ненужной реализации, а именно by design. Дык про TLS вообще много чего нагуглить можно. И про 1.0 - выше крыши.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #45

45. Сообщение от пох. (?), 27-Мрт-21, 10:37	+/–
> Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это? я как раз в курсе. Впопеннетовская белка-истеричка, разумеется, нет. Страшных слов начиталась, а понять как это могло работать и почему в реальности не работает никогда - не. Истерика мешает. > Атакуется _канал_ атакуется только твой горящий анал. Чтобы стать увизьгвимым к хоть одной реалистичной атаке - нужны _специальные_ _нетривиальные_ и _невозможные_ в твоем, истеричка, софте вообще нетиповые настройки. По двум концам одновременно, иначе не поможет. > А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет, > трололо. вероятно, авторы здраво оценивают реалистичность угроз. > А в каком-нибудь 1.0 небось катит не катит. Технически невозможно. Если только авторы софта и отдельно потом админ сервера и пользователь очень специально не заботились. С двух сторон разом. Потому что нельзя "сдаунгрейдить" на то, чего вообще нет. Вот тебе отчет ssllab по первому попавшемуся серверу: This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. ААААА!!!!...стоп, а что такое poodle? А это даунгрейд чего-то, что могло бы теоретически tls, но ему помогли свалиться на ssl3. Стоп, а откуда у тебя ssl3? У тебя его не то что нет нигде, ты его и включить-то не сможешь. (там отдельно можно разбираться в сортах истеричек, которым он и в ssl3 мешал так что они его бросились запрититиь-запритить, поскольку для успеха "атаки" надо уже сидеть в пыточной с проводами на яйцах, или очень близко к тому) Все остальные их истерики примерно такого же свойства - если бы, да кабы, желательно полностью контролируя оба конца (а не просто даже успешный mitm, что само-то по себе можно считать проблемой истеричек). И нет, с md5 используемым третьим-лишним после rsa-aes шифрования, никаких проблем нет. Кроме той мелкой, что его вообще нигде нет. Так что при всем желании не получится, даже в ssl3 не выйдет. Могло бы, может быть, что-то выйти с RC4, который белки-истерички позапритили-позапритили на случай активного mitm с квантовым компьютером под мышкой (то есть одни теоретические измышлизмы, ни одной реализуемой на коленке атаки на комплекс из трех составляющих - нет). Но его тоже нигде нет даже если ну очень захотеть чтоб был. > Как не имеющий? Фича ж протокола, "на всякий случай". с фичей все было в порядке - она, может быть, даже была бы кому-то полезна в каком-то специальном случае. Не в порядке была реализация в одной конкретной кривой программе (которую, напомню для истеричек, изначально вообще написал человек, которому вообще похрен было на вашу безопасТность). Ну завтра я тебе твой обожаемый 1.3 реализую на коленке, забыв в нем какой-нибудь debug внезапно содержимое твоего диска копирующий куданадо, не предусмотрев даже механизма отключения - это протокол виноват? > Все начлось с него - в нем зачем-то придумали ту фичу. Хоть оно нафиг не упало для заявленой > задачи. так можно сказать про любую фичу. Нет, оно было понятно для чего придумано. Непонятно зачем было включено, когда очевидно было какими руками реализуется и бесполезно для обычных васянов. Ну вот тебе дырка в tls 1.2 - свежайшая, там, наверное, все же DoS, а не rce, на одном нуле далеко не уехать, но тоже неплохо получилось, бери и роняй любой сервер. Протокол виноват? А чего тогда у меня ее нет? (А ее таки нет.) Сейчас по сравнению с временами heartbleed в протоколе _чудовищно_ выросло количество очень нужных и полезных гуглю, гуглю и опять гуглю фич, каждая из которых может содержать пару сюрпризов даже при _правильной_ реализации (большинство все же обычно отключены или отключаемы - но белки-истерички включают обратно - сисюрить жеж!). Что гуглить - я тебе уже назвал, для примера - но ты ж не будешь, ведь уже же не стал. А так хоть бы знал, какой там костыль куда подкладывать принято.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от пох. (?), 27-Мрт-21, 10:52	–1 +/–
> Забавно, что OpenNet работает на TLS 1.2 tls1.2 сам по себе к этой проблеме отношения не имеет. В openssl1.1.x понаулучшайкали большой кусок кода, и, вот, кто бы мог подумать, да и было ли ему - чем?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

47. Сообщение от IRASoldier_registered (ok), 27-Мрт-21, 19:04	+/–
Да, конечно, вам же systemd чувствительные места прищемил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема