The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей

25.03.2021 23:24

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k с устранением двух уязвимостей, которым присвоен высокий уровень опасности:

  • CVE-2021-3450 - возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.

    Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра "purpose", который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).

  • CVE-2021-3449 - возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с разыменованием указателя NULL в реализации расширения signature_algorithms. Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).

Дополнение: LibreSSL проблемам не подвержен, так как связанный с ними код был добавлен после ответвления проекта. Уязвимость, устранённая в LibreSSL 3.2.5, специфична для LibreSSL и не проявляется в OpenSSL.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  3. OpenNews: Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4
  4. OpenNews: Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости
  5. OpenNews: Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанной с TLS 1.3
  6. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54833-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:30, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Спасибо за информацию, уже обновился.

    >вызова краха сервера

    Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.

     
     
  • 2.2, Аноним (1), 23:32, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >не в фаворе

    ПОПАЛИ В ОПАЛУ вместе с редхатом

     
     
  • 3.16, Аноним (-), 00:52, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>не в фаворе
    > ПОПАЛИ В ОПАЛУ вместе с редхатом

    Тихо, сам с собою, правою рукою... Анонимус(1) пытался косить под нескольких, но двигун опеннета жестоко отклеил его ус.

     
     
  • 4.17, Аноним (1), 01:13, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мимо. Я ж не ты. Просто дополнил.
     
  • 2.7, Аноним (-), 23:50, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • –10 +/
    За себя пожалуйста извольте говорить, неуважаемый. Поразвелось самозванцев про фавор рассуждать.
     
  • 2.9, White Crow (?), 23:57, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.

    С этими дегенератами давно было всё ясно, но теперь да, порядочные люди будут их за версту обходить.

     
     
  • 3.12, IRASoldier_registered (ok), 00:18, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Конечно, ведь важно не качество софта и операционки, тут же свободный софт, а значит важнее всего - отношение к Столлману!
     
     
  • 4.13, White Crow (?), 00:38, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул?
     
     
  • 5.14, Аноним (-), 00:44, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул?

    Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.

     
     
  • 6.18, White Crow (?), 01:15, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.

    Ты пьяный что ли?

    Какие проприетарщики? Какая война с "GPLщиками"?

    Да что ты, чёрт побери, такое несёшь?

     
     
  • 7.26, Аноним (26), 09:22, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вас, любителей "свобод" за километр видно.
     
  • 6.33, suffix (ok), 13:32, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пожалуйста не надо упоминать свиней в негативном контексте !
     
  • 4.21, kusb (?), 02:26, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну во всех проектах подписавшихся против Столлмана возможны потениальные проблемы с безопасностью. Троян посадить я точно не хочу.
     
     
  • 5.30, IRASoldier_registered (ok), 12:28, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обнови шапочку из фольги, эта порвалась.


     
     
  • 6.31, kusb (?), 12:32, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обнови шапочку из фольги, эта порвалась.

    Поздно, крыша уже едет.

     
  • 4.22, псевдонимус (?), 04:10, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они и до этого отличались гнусностями, например подменой пакетов.
     
  • 4.36, пох. (?), 16:10, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну слушай, откуда возьмется качество софта и операционки у борцунов за все хорошее и против всех плохих, список плохих уточните перед партсобранием?

    Они вряд ли вообще умеют кодить. Вот, на xml, разьве что. А, нет, там же копипастер.

     
  • 4.42, GG (ok), 23:04, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Никакого качества в дебиане уже лет десять как не осталось
     
     
  • 5.43, пох. (?), 23:23, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Никакого качества в дебиане уже лет десять как не осталось

    ну если так считать - то и не было никогда до того. Был обычный gnu/linux с неописуемо уродливым пакетным менеджером и невероятно уродливым системным софтом поверх него.
    На самом деле, в дебиллиане единственное что есть - это огромное, по меркам других дистрибутивов, количество майнтейнеров. И многие из них действительно чего-то стоят.

    Напомните, кто сразу заткнул дырку в ведре с iscsi, а кто по сей день раздуплиться не может?
    Да, там простая копипаста-то не прокатывала, надо было уметь кодить хоть немножко.

    Ну и других локальных побед у дебиановских майнтейнеров есть (часть из них потом на халяву получает убунта). Одна беда - эти люди не входят в корытцеонные советы, они делом заняты.
    А у корыта, как обычно, собрался бесполезный хлам, с единственным скиллом прыганья по сцене на презентациях и форумах и писания в CoC.md.


     
  • 5.47, IRASoldier_registered (ok), 19:04, 27/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, конечно, вам же systemd чувствительные места прищемил.
     
  • 2.24, Аноним (24), 08:55, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.

    А вы смотрели фильм "Матрица"?

     

  • 1.3, пох. (?), 23:36, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Проблема проявляется только на серверах с поддержкой TLSv1.2

    Это прекрасно, ящетаю.

    Кто там верещал что 1.1 немодно и немолодежно? Нате, жрите.

     
     
  • 2.4, Аноним (4), 23:40, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У нас тут TLSv1.3 как бы в ходу
     
     
  • 3.6, пох. (?), 23:49, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    А, у вас уже вообще сайт ничем, кроме еще недописанной версии хромонога не открывается? Ну ок, вам придется еще недельку подождать (в 1.3 нет renegotiation в принципе, макакеры не осилили - но они еще много чего неосилили, скоро найдется)

     
     
  • 4.8, Аноним (8), 23:56, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (в 1.3 нет renegotiation в принципе, макакеры не осилили

    А это там вообще зачем? А, чтобы атакующим удобнее атаковать было...

     
     
  • 5.10, пох. (?), 00:01, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну конечно же. Вообще все немодное-немолодежное - оно только для этого.

    Вот модный и молодежный 1.3 - он швятой, швятой. Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном early-data), то еще чего похуже, но "это другое".

     
     
  • 6.15, Аноним (-), 00:48, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ну конечно же. Вообще все немодное-немолодежное - оно только для этого.

    С учетом списка атак на 1.1 и ко - как-то так. А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. И вот на цатый год ее существования кто-то наконец придумал как это можно поюзать. Только остальным что-то не понравилось.

    > Вот модный и молодежный 1.3 - он швятой, швятой.

    Ну, он лучше чем было до этого. Набитые шишки заставили включать мозги хоть немного.

    > Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном
    > early-data), то еще чего похуже, но "это другое".

    И, конечно, ты не трепло и подгонишь пруфлинк?

     
     
  • 7.28, пох. (?), 11:31, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > С учетом списка атак на 1.1 и ко - как-то так.

    ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0
    В варианте когда настройки хотя бы на одном конце сделаны не _специально_ (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать.

    > А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем.

    именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, зачем альтернативно-одаренными включенной.

    Но виноват, безусловно, неправильный протокол.

    > Ну, он лучше чем было до этого.

    Ты, конечно не трепло...хотя конечно ты трепло.

    А гуглить про early-data я предоставлю тебе. И вот это - не уязвимость ненужной реализации, а именно by design.

     
     
  • 8.44, Аноним (-), 02:13, 27/03/2021 Скрыто модератором
  • +/
     
     
  • 9.45, пох. (?), 10:37, 27/03/2021 Скрыто модератором
  • +/
     
  • 3.19, Аноним (19), 01:20, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, что OpenNet работает на TLS 1.2
     
     
  • 4.46, пох. (?), 10:52, 27/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Забавно, что OpenNet работает на TLS 1.2

    tls1.2 сам по себе к этой проблеме отношения не имеет. В openssl1.1.x понаулучшайкали большой кусок кода, и, вот, кто бы мог подумать, да и было ли ему - чем?!

     
  • 2.5, Аноним (5), 23:45, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Доброе утро товарищ, 1.3 уже несколько лет назад ввели
     
     
  • 3.20, Аноним (20), 01:20, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кому и куда ввели ?
     

  • 1.23, Аноним (23), 06:39, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проблема внесена в появившейся в OpenSSL 1.1.1h

    Это проблемы только тех кто обновился.

     
     
  • 2.25, Аноним (24), 08:58, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это проблемы только тех кто обновился.

    Как будто в предыдущих версиях OpenSSL небыло CVE, ага... https://repology.org/project/openssl/cves

     

  • 1.27, Аноним (27), 09:35, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Забавно как у кого-то цифра 3 в номере версий становится неактуальной и приходится переходить на 40, а тут БУКВА k не создаёт проблем.
     
     
  • 2.34, пох. (?), 16:04, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В этом плане opensslщики немодны и немолодежны - двадцать лет у них вообще были версии 0.что-то (вполне адекватные качеству кода)

    Но цифра перед буквой создаст тебе очень даже внятные проблемы, если ты сдуру поапгрейдишься на неправильную. Есть у нас такой интересный софт. И вот его писали - м-ки.

    Точнее, портили. Написал-то нормальный разработчик, только, гад, денег хотел. Жрать дерьмо у корпораций на зарплате - не хотел. Тварь!

     

  • 1.32, YetAnotherOnanym (ok), 13:03, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Первая доставила. Классное такое ужесточение проверки - у тебя серт негодный, я его проверять не буду, проходи так.
    А за вторую пусть Фрактал скажет.
     
     
  • 2.35, пох. (?), 16:08, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты все неправильно понял - серт хороший, годный, правильная эллиптическая кривая, не кривая какая-то. А что мы его уже признали негодным потому что он подписан васяном - я уже забыла, стара стала, эклер этот... Проходи, проходи.

    > А за вторую пусть Фрактал скажет.

    Не отвлекай, он уже переписывает на совершенно безопастном от неинициализированных переменных языке. Уже написал CoC и readme.md


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру