Обновление OpenSSL 1.0.1k, 1.0.0p, 0.9.8zd и StrongSwan 5.2.2 с устранением уязвимостей

08.01.2015 21:41

Доступны корректирующие выпуски OpenSSL 1.0.1k, 1.0.0p и 0.9.8zd в которых устранено 8 уязвимостей, из которых 6 помечены как неопасные, а двум уязвимостям присвоен умеренный уровень опасности. Проблема CVE-2014-3571 позволяет инициировать крах процесса из-за разыменования указателя NULL при обработке специально оформленных сообщений DTLS. Проблема CVE-2015-0206 может привести к исчерпанию доступной для процесса памяти при обработке потока записей DTLS с одинаковыми номерами последовательности.

Дополнительно можно отметить обновление strongSwan 5.2.2, свободного пакета для создания VPN-соединений на базе протокола IPsec, используемого в Linux, Android, FreeBSD и Mac OS X. В новой версии устранена уязвимость (CVE-2014-9221), которую можно использовать для инициирования краха демона IKE через отправку специально оформленного IKE_SA_INIT запроса с указанием значения 1025 в качестве номера группы DH (Diffie-Hellman).

Кроме того, можно упомянуть заслуживающую внимания заметку одного из разработчиков Libreswan о безопасности IPsec, в свете недавней утечки информации об успешных атаках АНБ на IPsec. В заметке делается вывод, что особого повода для беспокойства нет и можно смело продолжать использование IPsec и IKE, если используются корректные настройки и в операционной системе соблюдены базовые требования к обеспечению безопасности (атаки АНБ основаны на краже ключей или атаке на заведомо небезопасные алгоритмы шифрования).

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41418-openssl

Ключевые слова: openssl, ipsec

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (19)

1.1, sage (??), 00:34, 09/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ссылка на заметку отсутствует.

1.2, Sylvia (ok), 01:44, 09/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
ну что еще сказать... http://storage3.static.itmages.ru/i/15/0108/h_1420756930_9372183_7df25cb761.j

2.3, Graynder (ok), 02:27, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
> ну что еще сказать... > http://storage3.static.itmages.ru/i/15/0108/h_1420756930_9372183_7df25cb761.j Уязвимостей последнее время как из рога изобилия, а альтернативы туманны.

3.4, Аноним (-), 02:53, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
не туманны. они всегда были только одними. или пишешь свое никому не известное и работаешь на своем со своими или не пользуешь технологию.))

4.5, Аноним (-), 07:56, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
Разработать систему защиты, защищающую от самого автора может даже новичок (с) вольный пересказ Фразы Б.Шнайера Вопрос в том - а что действительное есть стойкое?

4.14, svlasov (ok), 15:30, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
>> пишешь свое никому не известное security through obscurity

3.7, Нанобот (ok), 10:25, 09/01/2015 [^] [^^] [^^^] [ответить]	+1 +/–
>Уязвимостей последнее время как из рога изобилия всё как обычно, не преувеличивай

4.13, Аноним (-), 15:13, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
>>Уязвимостей последнее время как из рога изобилия > всё как обычно, не преувеличивай Нет, все-таки их число растет. Потому что растет число форков. Больше форков - больше уязвимостей.

5.19, anonimouse (?), 22:02, 09/01/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Нет не так. Больше форков - меньше уязвимостей.

6.20, Аноним (-), 18:11, 10/01/2015 [^] [^^] [^^^] [ответить]

+/–

> Больше форков - меньше уязвимостей.

Наоборот. Так как кодовая база одна - большинство дыр наследуются производными проектами, как бы "раздваиваясь". Был один проект с одной дыркой, стало два проекта, и в итоге - две дырки.

Когда еще сабжевые дыры закроют в libressl...

2.16, бедный буратино (ok), 16:24, 09/01/2015 [^] [^^] [^^^] [ответить]

+/–

> ну что еще сказать...

Everyone gets everything he wants. I wanted secure transmissions, and for my sins, they gave me OpenSSL.

http://www.openbsd.org/faq/index.html

3.17, Аноним (-), 21:47, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
А особо плохим мальчикам дали еще и LibreSSL. Сначала уязвимость закрывают в OpenSSL, а потом, через пару месяцев - и в Libre.

1.6, Нанобот (ok), 10:22, 09/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>В заметке делается вывод, что особого повода для беспокойства нет и можно смело продолжать использование IPSec и IKE сколько АНБ обычно платит экспертам за такие заметки?

2.12, Аноним (-), 15:12, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
>>В заметке делается вывод, что особого повода для беспокойства нет и можно смело продолжать использование IPSec и IKE > сколько АНБ обычно платит экспертам за такие заметки? Такие вещи можно писать и без науськиваний товарища^Wмистера в штатском. Достаточно намека на оскорбление профессиональной чести и гордости (типа, ваш продукт - рeшето). У большинства разработчиков от таких заявлений автоматически включаются рекативные двигатели в области седалища, и они с дымным хвостом несутся защищать свое детище, презирая факты и здравый смысл.

1.10, Аноним (-), 15:07, 09/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ждем, когда их закроют в LibreSSL.

2.15, Нанобот (ok), 16:10, 09/01/2015 [^] [^^] [^^^] [ответить]	–1 +/–
опять кто-то о себе во множественном числе пишет...

3.18, Аноним (-), 21:48, 09/01/2015 [^] [^^] [^^^] [ответить]	+/–
Нам можно. Сам Нургалиев разрешил!

4.21, гость (?), 00:39, 11/01/2015 [^] [^^] [^^^] [ответить]	+/–
Опыт соседних стран вообще ничему не учит?

1.22, бедный буратино (ok), 10:32, 11/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
http://dayswithoutansslexploit.com/ чёт заглох щёчик

игнорирование участников | лог модерирования

Добавить комментарий

Текст: