Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов"	+/–
Сообщение от opennews (??), 02-Дек-21, 17:24
В наборе криптографических библиотек NSS (Network Security Services), развиваемых компанией Mozilla, выявлена критическая уязвимость (CVE-2021-43527), которая может привести к выполнению кода злоумышленника при обработке цифровых подписей DSA или RSA-PSS, заданных с использованием метода кодирования DER (Distinguished Encoding Rules). Проблема, которой присвоено кодовое имя BigSig, устранена в выпусках NSS 3.73 и NSS ESR 3.68.1. Обновления пакетов в дистрибутивах доступны для Debian, RHEL, Ubuntu, Fedora, SUSE, Arch Linux... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56268
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Дек-21, 17:24	–12 +/–
Опенсорс… DSA ещё не занесли в чёрный список? Самое время.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (-), 02-Дек-21, 17:27	–14 +/–
Объясните, как ssl, которая делается за кружкой пива в один вечер, может занимать столько лет и такой объем ненужнофигни ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

3. Сообщение от Аноним (1), 02-Дек-21, 17:27	+/–
* These packages depend on dev-libs/nss: app-crypt/qca-2.3.4 (nss ? dev-libs/nss) net-analyzer/suricata-6.0.4 (dev-libs/nss) net-im/pidgin-2.14.8 (!gnutls ? dev-libs/nss) net-misc/chrony-4.1-r2 (nss ? dev-libs/nss) net-misc/curl-7.80.0 (nss ? dev-libs/nss:0[abi_x86_32(-)?,abi_x86_64(-)?,abi_x86_x32(-)?,abi_mips_n32(-)?,abi_mips_n64(-)?,abi_mips_o32(-)?,abi_s390_32(-)?,abi_s390_64(-)?]) sys-libs/libblockdev-2.26 (escrow ? >=dev-libs/nss-3.18.0) www-client/firefox-94.0 (>=dev-libs/nss-3.71) по-сути, только суриката и фф (согласно пакетному менеджеру).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 02-Дек-21, 17:30	+/–
Не вижу обновлений в Fedora даже в testing: dnf update --enablerepo=updates-testing 'nss*' Стоят: nss-3.71.0-1.fc35.x86_64 nss-devel-3.71.0-1.fc35.x86_64 nss-mdns-0.15.1-2.fc35.x86_64 nss-pem-1.0.8-1.fc35.x86_64 - всё это прилетело 10 ноября.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #26

5. Сообщение от А где же каменты (?), 02-Дек-21, 17:40	–1 +/–
А нсс кто-нибудь кроме фф использует?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (1), 02-Дек-21, 17:42	+/–
В генту 3.73. Федора не самый современный дистр, обычно лаг исправлений очень большой. Но в генту тоже полгода назад добавили поломанную glibc и только вчера дали возможность отключить clone3 -- всё это время песочница не работала в старых билдах хромоподелок. И в фф тоже. Полгода прошло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #34

7. Сообщение от f95 (ok), 02-Дек-21, 17:42	+/–
А что там тестить, чинить надо... В Дебиане, например, есть во всех стабильных, но не в testing.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от ryoken (ok), 02-Дек-21, 17:45	+/–
>>является хорошей демонстрации того, как в широко протестированном известном проекте могут длительное время оставаться незамеченными тривиальные уязвимости "У 7-ми нянек..."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

9. Сообщение от BratishkaErik (ok), 02-Дек-21, 17:49	+2 +/–
> В качестве примера уязвимых приложений упоминаются LibreOffice, Evolution и Evince. Потенциально проблема также может затрагивать такие проекты, как Pidgin, Apache OpenOffice, Suricata, Curl, Сhrony, Red Hat Directory Server, Red Hat Certificate System, mod_nss для http-сервера Apache, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #32

10. Сообщение от Rev (?), 02-Дек-21, 17:49	+9 +/–
За вечер оно делается используя библиотеки. А именно в одной из них найдена ошибка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от НяшМяш (ok), 02-Дек-21, 18:05	+11 +/–
> А проверяли бы PVS-Studio, то нашли бы а не, не та методичка > А написали бы на расте, не было бы таких уязвимостей вот, то что надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29

17. Сообщение от Аноним (17), 02-Дек-21, 18:55	+3 +/–
Правильно! Нечаво проверять входные данные, это тики процессора жрет и компухтер тормозить будет!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Аноним (18), 02-Дек-21, 19:41	+1 +/–
> тики процессора жрет и компухтер тормозить будет! С каких пор прораммистов это [снова] волнует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #19

19. Сообщение от Аноним (17), 02-Дек-21, 20:54	+/–
Предложите другую причину с каким-то нормальным обоснование почему они это не делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #24

21. Сообщение от Аноним (21), 02-Дек-21, 22:37	+2 +/–
Почему Мозилла до сих пор не переписала всё на Rust? Им же заняться больше нечем - они и так уже все полимеры...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #31

22. Сообщение от Аноним (-), 02-Дек-21, 23:14	+7 +/–
А разве они не поувольняли программистов ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

24. Сообщение от Аноним (24), 03-Дек-21, 08:05	+/–
https://habr.com/ru/post/151603/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

26. Сообщение от Andrey (??), 03-Дек-21, 09:36	+/–
Зеркала старые? У меня на двух машинах обновилось, на одной не захотело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

29. Сообщение от Аноним (29), 03-Дек-21, 18:24	+2 +/–
Да хоть на Ada пусть переписывают или на Pascal, надоели со своими одними и теми же ошибками с размером буфера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

30. Сообщение от Аноним (29), 03-Дек-21, 18:29	+1 +/–
Им нужно тогда переименовать "уязвимость" в "особенность" и затравить в твитторе всех кто указывает на недостатки их ПО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

31. Сообщение от Аноним (31), 04-Дек-21, 03:03	+/–
Так эта уязвимость firefox не затрагивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

32. Сообщение от Аноним (32), 04-Дек-21, 03:23	+/–
Энтерпрайзщина. Из всего перечисленного всерьез можно рассматривать разве что curl.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #33, #36

33. Сообщение от Аноним (32), 04-Дек-21, 03:23	+/–
Ну и chrony еще, ок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от Аноним (34), 04-Дек-21, 12:54	+/–
> добавили поломанную glibc... А подробнее можно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #35

35. Сообщение от Аноним (1), 04-Дек-21, 12:58	+/–
>> добавили поломанную glibc... > А подробнее можно? https://duckduckgo.com/?t=ffab&q=glibc+2.34+clone3&ia=web https://gitweb.gentoo.org/repo/gentoo.git/commit/sys-libs/gl...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от Kuromi (ok), 05-Дек-21, 17:55	+/–
Ну разумеется же. Тот факт что Ред Хат Мозилле за NSS приплачивает даже и не новость. У них та мопять эе контакты есть и в случае чего вопросы можно решить, а широкий круг пользователей - NSS даже и не гнались за этим никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема