The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.1.1l с устранением двух уязвимостей

25.08.2021 20:58

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:

  • CVE-2021-3711 - переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера. Атакующий потенциально может добиться выполнения своего кода или краха приложения через передачу специальной оформленных данных для декодирования в приложениях, использующих функцию EVP_PKEY_decrypt() для расшифровки данных SM2.
  • CVE-2021-3712 - переполнение буфера в коде обработки строк ASN.1, позволяющее вызвать крах приложения или узнать содержимое памяти процесса (например, для выявления хранимых в памяти ключей), если атакующий каким-то образом сможет сформировать строку во внутренней структуре ASN1_STRING, не оканчивающуюся нулевым символом, и обработать её в функциях OpenSSL, осуществляющих вывод сертификатов, таких как X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() и X509_get1_ocsp().

Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
  3. OpenNews: Void Linux возвращается с LibreSSL на OpenSSL
  4. OpenNews: Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4
  5. OpenNews: Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости
  6. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55683-openssl
Ключевые слова: openssl, libressl
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:05, 25/08/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –5 +/
     
     
  • 2.4, Rev (?), 21:11, 25/08/2021 Скрыто модератором
  • –3 +/
     
     
  • 3.5, Аноним (1), 21:15, 25/08/2021 Скрыто модератором
  • –2 +/
     
     
  • 4.12, Alladin (?), 22:07, 25/08/2021 Скрыто модератором
  • +1 +/
     
     
  • 5.18, Аноним (1), 23:31, 25/08/2021 Скрыто модератором
  • +/
     
  • 3.6, Ольбертович (?), 21:20, 25/08/2021 Скрыто модератором
  • +2 +/
     
     
  • 4.13, Alladin (?), 22:08, 25/08/2021 Скрыто модератором
  • +/
     
     
  • 5.20, Ольбертович (?), 02:09, 26/08/2021 Скрыто модератором
  • +3 +/
     
  • 2.7, Хан (?), 21:25, 25/08/2021 Скрыто модератором
  • +2 +/
     
  • 2.17, Аноним (17), 22:57, 25/08/2021 Скрыто модератором
  • –3 +/
     
     
  • 3.19, Аноним (1), 23:31, 25/08/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (10)

  • 1.3, Аноним (3), 21:10, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы что исправили.
     
     
  • 2.21, Аноним (21), 02:29, 26/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гораздо сложнее не допускать, чем по пути исправлять.
     

  • 1.8, Аноним (8), 21:29, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.

    Ну вообще то они её и нашли, уязвимость эту:

    "An initial instance of this issue in the X509_aux_print() function was reported
    to OpenSSL on 18th July 2021 by Ingo Schwarze. The bugfix was developed by Ingo
    Schwarze and first publicly released in OpenBSD-current on 10th July 2021 and
    subsequently in OpenSSL on 20th July 2021 (commit d9d838ddc). Subsequent
    analysis by David Benjamin on 17th August 2021 identified more instances of the
    same bug. Additional analysis was performed by Matt Caswell. Fixes for the
    additional instances of this issue were developed by Matt Caswell."

     
     
  • 2.10, Аноним (8), 21:36, 25/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А SM2 там пока и нет: https://github.com/libressl-portable/portable/issues/636
     

  • 1.9, анонии (?), 21:30, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ловим флэшбеки с heartbleed
     
     
  • 2.14, Аноним (-), 22:14, 25/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Heartbleed гораздо опаснее и позволяла извлечь гораздо больше полезной информации из сайтов, так что без флэшбеков.
     

  • 1.11, Аноним (11), 22:05, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Парой переполнений больше, парой меньше - никто и не заметит, главное поигрались с void*****.
     
     
  • 2.30, PnD (??), 11:27, 26/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И как вы предлагаете получать колбэки/разбирать структуры в "чистых" сях?
    Разумеется, можно наделать "прокладок" и их стабилизировать. Но тут уж на выбор:
    * Выжимаем всё до такта — получаем вот это с регулярными камингаутами^w выходами за границы и т.п. null dereference/double free. Пример: большинство библиотек (тормознутые почему-то не популярны). Knot, unbound (как примеры наличия способов писать достаточно чистый код без массовых "памперсов", но "дорого").

    * Пишем фреймворк (берём чей-то) и заставляем всех в проекте им пользоваться. Поверхность атаки сокращается в разы, но всё ещё можно налажать во внутренней логике, умножаем лажу на мощь сей как продвинутого кроссассемблера. И да, разумеется результат медленнее (насколько-то). Пример: asterisk (как бы к нему не относились, там этот подход достаточно рельефно реализован). SSSD (трэш и угар, но таки тоже натянуто на фреймворк).

    * Выносим всё что можно изолировать наружу и кодим на ЯП со встроенными защитами/гарантиями. Теряем в производительности/скорости разработки в зависимости от способа реализации гарантий. В прикладном софте это обычно совершенно оправдано. Проблемы начинаются при попытках потеснее работать с системными обвязками. Когда "слева" к вам приезжает не пойми что (к примеру, то ли ipv4 то ли ipv6 и там где-то в конце указатель на следующий элемент списка), а "справа" pascal|ada (к примеру, "хайповые" ЯП в той же лодке), то это таки "ой". И не разбираясь досконально в сишной "кухне" (а откуда, вы на этом изначально сэкономили, завязавшись на "прикладной" ЯП) что-то тут сделать очень непросто.

     

  • 1.15, Аноним (15), 22:34, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера.

    Сами навязали своё говно бизнесу и населению вместо AES и CHACHA, сами же и огребли.

     
     
  • 2.16, Аноним (-), 22:46, 25/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уязвимость в

    > коде с реализацией криптографического алгоритма

    , так что виноваты тут только разработчики OpenSSL. А так не поспоришь, почти у каждого есть своя криптография, каждый надеется, что она хороша и почти у каждого она оказывается никудышна.

     
     
  • 3.35, Аноним (35), 03:45, 27/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, чаще она всё-таки оказывается хороша
     

  • 1.22, Рач (?), 02:46, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    КНР молодцы, открыли дыру для мировых спецслужб.
     
     
  • 2.23, Аноним (23), 06:25, 26/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ничего кетайцы не открывали, просто первыми заметили и тихой сапой использовали дыру.
     

  • 1.26, Брат Анон (ok), 09:23, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пользуйтесь проверенной криптографией, говорили они. Безопасно на 146%, мы вам гарантируем это, говорили они.
     
  • 1.29, Аноним (3), 10:52, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ре-shit-о :(
     
  • 1.31, Аноним (31), 14:42, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не знаю, что они там правили, но после обновления у меня завязанное ПО на этом УГ перестало работать.
    Пришлось выключать и включать пк, помогло.
     
  • 1.32, Аноним (32), 15:54, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну если взглянуть на историю создания и мир из которого пришел openssl то ничего удивительного.

    Но молодцы хоть исправили.

     
     
  • 2.33, Аноним (-), 17:04, 26/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну если взглянуть на
    > мир из которого пришел openssl

    Инопланетный камрад, OpenSSL был создан людьми на платформе Земля. Пока это малоразвитая цивилизация, которая даже на Rust с ошибками пишет, а чего вы хотите здесь?

     
     
  • 3.34, Онаним (?), 21:32, 26/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока это малоразвитая цивилизация, которая даже Rust с ошибками пишет

    Fixed

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру