The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

26.01.2017 20:20  Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2k и 1.1.0d, в которых устранены 4 уязвимости, трём из которых присвоен умеренный уровень опасности, а одной - низкий.

  • CVE-2017-3731 - позволяют инициировать крах серверного или клиентского SSL/TLS-приложения на 32-разрядных системах (чтение из области за пределами буфера) при приёме повреждённого пакета. В ветке OpenSSL 1.1.0 проблема проявляется при использовании алгоритмов CHACHA20/POLY1305, а в Openssl 1.0.2 - RC4-MD5;
  • CVE-2017-3730 - может привести к краху клиентского приложения (разыменование нулевого указателя) при передаче сервером некорректных параметров при обмене ключами по протоколам DHE или ECDHE;
  • CVE-2017-3732 - BN_mod_exp может вернуть некорректный результат на платформе x86_64, атака отнесена к категории труднореализуемых и маловероятных.

  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Обновление OpenSSL 1.1.0c с устранением уязвимости в реализации ChaCha20/Poly1305
  3. OpenNews: Критическая уязвимость в OpenSSL 1.1.0a
  4. OpenNews: Обновление OpenSSL с устранением 14 уязвимостей
  5. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  6. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, ОлдФак, 22:55, 26/01/2017 [ответить] [смотреть все]
  • –2 +/
    В FreeBSD-HEAD уже внесена 1.0.2k
     
     
  • 2.3, iZEN, 00:15, 27/01/2017 [^] [ответить] [смотреть все]
  • –1 +/
    В 11-STABLE тоже внесли изменения.
     
     
  • 3.5, Sw00p aka Jerom, 02:59, 27/01/2017 [^] [ответить] [смотреть все]
  • +/
    выпилить бы к чертя на*
     
  • 3.10, Аноним, 14:04, 27/01/2017 [^] [ответить] [смотреть все]
  • +/
    Само обновило в Docker контейнере под линуксом.
     
  • 3.11, Лукашенко, 14:06, 27/01/2017 [^] [ответить] [смотреть все]
  • +/
    > В 11-STABLE тоже внесли изменения.

    Дрочиш небось?

     
     
  • 4.17, Аноним, 03:34, 28/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Школьник небось?
     
  • 2.4, Аноним, 01:31, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    В STABLE 11 уже прилетело Кстати, вместе с Author emaste emaste FreeBSD org ... весь текст скрыт [показать]
     
  • 1.2, Michael Shigorin, 23:03, 26/01/2017 [ответить] [смотреть все]  
  • –9 +/
    Это просто праздник какой-то... хорошо, что у нас 1.0.2 до сих пор хоть.
     
     
  • 2.6, Аноним, 07:08, 27/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    хвастается тем что у вас дыры не исправляют ?
     
  • 2.7, Anonimus, 10:07, 27/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это все потому что вы много проводите времени на форумах, вместо пиления своего багтрекера. В каждой бочке затычка, Михалл, право же!
     
  • 2.8, Старый, 12:23, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Сказочный ... Как его только из больницы выпустили?
     
     
  • 3.9, ппрошшш, 14:01, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    таких   в   кащенко  сейчас  долго   не   держат  ведь  миша  обычный алкаш
     
     
  • 4.18, Аноним, 03:36, 28/01/2017 [^] [ответить] [смотреть все]  
  • +/
    а ты обычный дегенерат. и что с того? у всех есть недостатки.
     
  • 2.12, Ilya Indigo, 14:55, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Понимаю, если бы у вас был LibreSSL, то есть не просто бы был одним пакетом, который не требуется никому, а все пакеты требующие OpenSSL требовали бы LibreSSL и успешно линковались с нем, тогда да, есть повод для гордыни и хвастовства. А так...
     
     
  • 3.15, пох, 15:26, 27/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    зачем ту, единственную, софтину для которой актуальна и сравнительно безопасна... весь текст скрыт [показать]
     
  • 2.13, пох, 15:10, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    ну, кто запретил у себя weak algo - тем хорошо.
    Кто вынужден их использовать для совместимости чорти с чем - тем гораздо хуже, чем было бы с 1.1 до выпуска заплатки - потому что новомодные djb'шные протоколы в общем-то не особенно нужны, и запретить их до исправления (а лучше, как все ненужное, навсегда) можно почти в любом разумном месте.
     
  • 2.14, Red Anus Flag Linux, 15:15, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Федеральное шифрование небось с мастер ключом фсб?
     
     
  • 3.16, пох, 16:25, 27/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > Федеральное шифрование небось с мастер ключом фсб?

    а зачем тебе, шифруя _государственные_ секреты (ибо это единственное, где _требуют_ использования гостовского шифрования), что-то скрывать от ФСБ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor