forum.opennet.ru - "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"В IPSec пакете strongSwan обнаружена серьёзная уязвимость"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
Сообщение от opennews (??) on 03-Май-13, 23:57
Вышло (https://lists.strongswan.org/pipermail/announce/2013-April/0...) экстренное обновление strongSwan 5.0.4 (http://www.strongswan.org/), свободного пакета для создания VPN-соединений на базе протокола IPSec, используемого в Linux, Android, FreeBSD и Mac OS X. В новой версии устранена серьёзная уязвимость (CVE-2013-2944), проявляющаяся при использовании плагина "openssl" в выпусках с 4.3.5 по 5.0.3 включительно, и позволяющая установить соединение с использованием некорректного сертификата или сигнатуры. Суть ошибки состоит в том, что любая пустая, нулевая или ошибочная цифровая подпись ECDSA воспринималась как корректная. Обязательным условием успеха атаки является использование бэкенда OpenSSL (по умолчанию не используется и включается при сборке с опцией "--enable-openssl") и задействование аутентификации ECDSA (Elliptic Curve Digital Signature Algorithm). URL: https://lists.strongswan.org/pipermail/announce/2013-April/0... Новость: http://www.opennet.ru/opennews/art.shtml?num=36854
Ответить \| Правка \| Cообщить модератору

Оглавление

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, anonymous, 23:57 , 03-Май-13, (1)

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, ВовкаОсиист, 01:19 , 04-Май-13, (2)
В IPSec пакете strongSwan обнаружена серьёзная уязвимость, pavlinux, 02:27 , 04-Май-13, (5) +6

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, VoDA, 13:11 , 04-Май-13, (8)

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, pavlinux, 01:55 , 05-Май-13, (13) –1

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Аноним, 20:32 , 04-Май-13, (12)
В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Аноним, 12:50 , 08-Май-13, (16)

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Аноним, 02:30 , 04-Май-13, (6)

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Аноним, 16:35 , 05-Май-13, (15)

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, бедный буратино, 03:14 , 04-Май-13, (7) –2
В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Дима, 13:18 , 04-Май-13, (9)
В IPSec пакете strongSwan обнаружена серьёзная уязвимость, arisu, 18:52 , 04-Май-13, (10)
В IPSec пакете strongSwan обнаружена серьёзная уязвимость, Аноним, 19:25 , 04-Май-13, (11) –1

В IPSec пакете strongSwan обнаружена серьёзная уязвимость, pavlinux, 12:29 , 05-Май-13, (14) +1

Сообщения по теме [Сортировка по ответам | RSS]

1. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от anonymous (??) on 03-Май-13, 23:57

Это баг в strongswan или в openssl?
Соответственно, затрагивает ли это, к примеру, openssh с ecdsa?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от ВовкаОсиист (ok) on 04-Май-13, 01:19

ошибка в strongSwan, т.к. не корректно обрабатывали ошибки OpenSSL.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +6 +/–

Сообщение от pavlinux (ok) on 04-Май-13, 02:27

> Это баг в strongswan или в openssl?
Не, не, не, только сильныйлебядь.

valid = ECDSA_verify(0, hash.ptr, hash.len,
-     signature.ptr, signature.len, this->ec);
+     signature.ptr, signature.len, this->ec) == 1;
Вот нафига так сравнивать? Потом придут новые майнтенеры, начнут оптимизить, и покоцают == 1;
Неужели все ресурсы выжрет один добавленный if ?

ret = ECDSA_verify(0, hash.ptr, hash.len, signature.ptr, signature.len, this->ec);
if (1 == ret)
   valid = TRUE;
Во, OpenSSL, специально для Равшанов и Джамшутов, в мане написал как надо делать!
http://www.openssl.org/docs/crypto/ecdsa.html

Third step: verify the created ECDSA signature using ... ECDSA_verify
ret = ECDSA_verify(0, digest, 20, buffer, buf_len, eckey);
// and finally evaluate the return value:
if (ret == -1)
        {
        /* error */
        }
else if (ret == 0)
        {
        /* incorrect signature */
        }
else   /* ret == 1 */
        {
        /* signature ok */
        }

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от Аноним (??) on 04-Май-13, 02:30

Это ж трындец, товарищи!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" –2 +/–

Сообщение от бедный буратино (ok) on 04-Май-13, 03:14

Вот так всегда - ждёшь уязвимости в php, а получаешь в IPSec. Не гневай Господа ямой, и сам туда не попадёшь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от VoDA (ok) on 04-Май-13, 13:11

На фоне таких ошибок становится понятно адекватность использования ТОЛЬКО boolean в операциях if.
В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ. В java только прямая проверка.
PS а что они будут делать если придет возврат -2? ошибка? да, ошибка. но по логике man-ов будет signature ok.
почему в мане они предлагают серию if, а не switch case, где default будет ругаться в логи? или хотя бы проверяли на ==1.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от Дима (??) on 04-Май-13, 13:18

Affected are only installations that have enabled and loaded the OpenSSL crypto backend (--enable-openssl). Builds using the default crypto backends are not affected.

Использую libgmp (http://gmplib.org), а не openssl.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от arisu (ok) on 04-Май-13, 18:52

очередные «оптимизаторы» не читают документацию. молодцы, они В Тренде.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" –1 +/–

Сообщение от Аноним (??) on 04-Май-13, 19:25

Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от Аноним (??) on 04-Май-13, 20:32

Пусть используют установку побитовых-масок в макросах и не выеживаються

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" –1 +/–

Сообщение от pavlinux (ok) on 05-Май-13, 01:55

> В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ.
Думать надо перед написанием программы, а не сразу топтаь клавиатуру.
Если не твоя, внешняя функция возвращает три результата,
то ты ОБЯЗАН обработать все три результата, а не оставлять на авось
и модальные округления, типа 23 mod 12 тоже 11 будет, и пофиг утра или вечера.
> В java только прямая проверка.  PS а что они будут делать если придет возврат -2?
Куда придёт? Откуда?
> почему в мане они предлагают серию if, а не switch case, где
> default будет ругаться в логи? или хотя бы проверяли на ==1.
Ты каким местом читаешь? В серии if-elif-else именно это и есть! :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +1 +/–

Сообщение от pavlinux (ok) on 05-Май-13, 12:29

> Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка
Это чё, из серии - хотел пофлудить, но мозга не хватило?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от Аноним (??) on 05-Май-13, 16:35

> Это ж трындец, товарищи!
Этому багу сто лет в обед. Его воспроизводят и воспроизводят. Это NULL authentification.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость" +/–

Сообщение от Аноним (??) on 08-Май-13, 12:50

В твоем примере ошибка. valid - не инициализирован. И нафига тебе if, в оригинале очень даже годно написано.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от anonymous (??) on 03-Май-13, 23:57
	Это баг в strongswan или в openssl? Соответственно, затрагивает ли это, к примеру, openssh с ecdsa?
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от ВовкаОсиист (ok) on 04-Май-13, 01:19
	ошибка в strongSwan, т.к. не корректно обрабатывали ошибки OpenSSL.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	5. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+6 +/–
	Сообщение от pavlinux (ok) on 04-Май-13, 02:27
	> Это баг в strongswan или в openssl? Не, не, не, только сильныйлебядь. valid = ECDSA_verify(0, hash.ptr, hash.len, - signature.ptr, signature.len, this->ec); + signature.ptr, signature.len, this->ec) == 1; Вот нафига так сравнивать? Потом придут новые майнтенеры, начнут оптимизить, и покоцают == 1; Неужели все ресурсы выжрет один добавленный if ? ret = ECDSA_verify(0, hash.ptr, hash.len, signature.ptr, signature.len, this->ec); if (1 == ret) valid = TRUE; Во, OpenSSL, специально для Равшанов и Джамшутов, в мане написал как надо делать! http://www.openssl.org/docs/crypto/ecdsa.html Third step: verify the created ECDSA signature using ... ECDSA_verify ret = ECDSA_verify(0, digest, 20, buffer, buf_len, eckey); // and finally evaluate the return value: if (ret == -1) { /* error / } else if (ret == 0) { / incorrect signature / } else / ret == 1 / { / signature ok */ }
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от Аноним (??) on 04-Май-13, 02:30
	Это ж трындец, товарищи!
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	–2 +/–
	Сообщение от бедный буратино (ok) on 04-Май-13, 03:14
	Вот так всегда - ждёшь уязвимости в php, а получаешь в IPSec. Не гневай Господа ямой, и сам туда не попадёшь.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от VoDA (ok) on 04-Май-13, 13:11
	На фоне таких ошибок становится понятно адекватность использования ТОЛЬКО boolean в операциях if. В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ. В java только прямая проверка. PS а что они будут делать если придет возврат -2? ошибка? да, ошибка. но по логике man-ов будет signature ok. почему в мане они предлагают серию if, а не switch case, где default будет ругаться в логи? или хотя бы проверяли на ==1.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от Дима (??) on 04-Май-13, 13:18
	Affected are only installations that have enabled and loaded the OpenSSL crypto backend (--enable-openssl). Builds using the default crypto backends are not affected. Использую libgmp (http://gmplib.org), а не openssl.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от arisu (ok) on 04-Май-13, 18:52
	очередные «оптимизаторы» не читают документацию. молодцы, они В Тренде.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	–1 +/–
	Сообщение от Аноним (??) on 04-Май-13, 19:25
	Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от Аноним (??) on 04-Май-13, 20:32
	Пусть используют установку побитовых-масок в макросах и не выеживаються
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	13. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	–1 +/–
	Сообщение от pavlinux (ok) on 05-Май-13, 01:55
	> В С/С++ можно подсунуть int или любую цифру в if и не отловить некорректный ответ. Думать надо перед написанием программы, а не сразу топтаь клавиатуру. Если не твоя, внешняя функция возвращает три результата, то ты ОБЯЗАН обработать все три результата, а не оставлять на авось и модальные округления, типа 23 mod 12 тоже 11 будет, и пофиг утра или вечера. > В java только прямая проверка. PS а что они будут делать если придет возврат -2? Куда придёт? Откуда? > почему в мане они предлагают серию if, а не switch case, где > default будет ругаться в логи? или хотя бы проверяли на ==1. Ты каким местом читаешь? В серии if-elif-else именно это и есть! :)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+1 +/–
	Сообщение от pavlinux (ok) on 05-Май-13, 12:29
	> Тэги: ШГ, УГ, апинастос, гвано, ссанина, мазоль, тваражог_солмнана, щвабботка Это чё, из серии - хотел пофлудить, но мозга не хватило?
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от Аноним (??) on 05-Май-13, 16:35
	> Это ж трындец, товарищи! Этому багу сто лет в обед. Его воспроизводят и воспроизводят. Это NULL authentification.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	16. "В IPSec пакете strongSwan обнаружена серьёзная уязвимость"	+/–
	Сообщение от Аноним (??) on 08-Май-13, 12:50
	В твоем примере ошибка. valid - не инициализирован. И нафига тебе if, в оригинале очень даже годно написано.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору