The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4

17.02.2021 09:27

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1j, в котором устранены две уязвимости:

  • CVE-2021-23841 - разыменование нулевого указателя в функции X509_issuer_and_serial_hash(), которое может привести к краху приложений, вызывающих данную функцию для обработки сертификатов X509 с некорректным значением в поле issuer.
  • CVE-2021-23840 - целочисленное переполнение в функциях EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate, результатом которого может быть возврат значения 1, означающего успешное выполнение операции, и установка отрицательного значения с размером, что может привести к краху приложений или нарушению нормального поведения.
  • CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.

Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Выпуск примечателен возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. Из новшеств выделяется добавление в TLSv1.3 реализаций компонентов exporter и autochain.

Кроме того, состоялся новый выпуск компактной криптографической библиотеки wolfSSL 4.7.0, оптимизированной для использования на встраиваемых устройствах с ограниченными ресурсами процессора и памяти, таких как устройства интернета вещей, системы умного дома, автомобильные информационные системы, маршрутизаторы и мобильные телефоны. Код написан на языке Си и распространяется под лицензией GPLv2.

В новой версии реализована поддержка RFC 5705 (Keying Material Exporters for TLS) и S/MIME (Secure/Multipurpose Internet Mail Extensions). Добавлен флаг "--enable-reproducible-build" для обеспечения повторяемых сборок. В прослойку для обеспечения совместимости с OpenSSL добавлены API SSL_get_verify_mode, X509_VERIFY_PARAM API и X509_STORE_CTX. Реализован макрос WOLFSSL_PSK_IDENTITY_ALERT. Добавлена новая функция _CTX_NoTicketTLSv12 для отключения сессионных тикетов TLS 1.2, но их сохранением для TLS 1.3.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Gentoo прекращает поддержку LibreSSL в пользу OpenSSL и LibreTLS
  3. OpenNews: Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости
  4. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.3.0
  5. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  6. OpenNews: Выпуск криптографической библиотеки wolfSSL 4.4.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54601-openssl
Ключевые слова: openssl, wolfssl, libressl, tls
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Lex (??), 09:41, 17/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > OpenBSD.. возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде

    Это вам не какой-то школьнолинух говорили они.. это серьезный продукт, который кодят профессора и академики говорили они... тут все идёт по пл..

     
     
  • 2.4, jkhjh (?), 10:02, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Читать не писать, правда?
     
     
  • 3.6, Lex (??), 11:03, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"

    Таки да. Равно как и "развивать" - лепить новые выпуски, но из старого кода, ведь с новым - что-то отваливается у сумрачного гения

     
     
  • 4.11, Аноним (-), 13:58, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > "Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает
    > форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"
    > Таки да. Равно как и "развивать" - лепить новые выпуски, но из
    > старого кода, ведь с новым - что-то отваливается у сумрачного гения

    Да понятно, что читать целиком,
    "из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. "
    да еще и понимать прочитанное - это не про л4пчтаых в режиме джих^W Священной Ярости.


     
  • 3.7, Аноним (7), 11:09, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Читать не писать, правда?

    А писать не читать, не так ли?

     

  • 1.3, Ssss (?), 09:45, 17/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В либрессл дыр нет, но никто не юзает
     
     
  • 2.5, пох. (?), 10:51, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В том и дело что в ней все дыры из openssl, ни одной не пропустили.
    И при этом есть собственные, и дальше будет больше (из-за изменения лицензии, сделанного специально для них, чтобы они не могли копипастить исправления из openssl).

    А код никто кроме трехвасянов из опенка не смотрит и ничего в нем не исправляет.

     
     
  • 3.10, Дон Ягон (ok), 13:31, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    https://www.cvedetails.com/product/30688/Openbsd-Libressl.html
    vs
    https://www.cvedetails.com/product/383/Openssl-Openssl.html

    Ну да, ни одной не пропустили.
    Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в libre...

     
     
  • 4.17, пох. (?), 16:54, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в
    > libre...

    А если найду?!
    Хотя да, то что доступ к исходникам старательно сделан через полную задницу, безусловно делает их 100% надежными и васяноупорными.

    То что никто и не чешется заводить отдельные cve на васян-форк, кроме совсем уж фееричных, не означает, что там этих проблем нет.

    Но ты, конечно же, уже сравнил реализации X509_issuer_and_serial_hash чтобы делать далекоидущие выводы? Я вот практически уверен что обе они родом из ssleay 96го года.

    А все реально существенные проблемы - найдутся в обоих списках. Ни одного васянский форк не избежал, поскольку не с этими руками и не этой квалификацией.

     
     
  • 5.18, Дон Ягон (ok), 17:13, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если найду?!

    Найди, лично я спасибо скажу (хотя мне скорее по барабану).

    > А все реально существенные проблемы - найдутся в обоих списках. Ни одного
    > васянский форк не избежал, поскольку не с этими руками и не
    > этой квалификацией.

    Я уже как-то тебе здесь же на опеннете сравнительный список приводил, в сообщении выше - ещё одно сравнение.

    А то, что libressl не лишён дыр в принципе - сорян, мы живём в реальном мире, где софт пишут люди, а не боги.

     
     
  • 6.19, пох. (?), 17:39, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну раз даже тебе уже по барабану - мне еще больше по барабану.

    Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить одну-единственную функцию не Б-г весть какая наука.

    Но после нескольких показательных факапов и найденных мной лично грабель с заметанием крошек под ковер - мне просто перестало быть интересно, что там происходит. Идея "вырежем-вырежем все 'лишнее' и будет чудо - та же ssl но без багов" сфейлилась с самого начала.

    Нет смысла дальше тратить время на васянскую поделку. Тем более что они полезли в область, точно не предназначенную для васянов - и выбора у них нет из-за измененной лицензии.

     
     
  • 7.22, Дон Ягон (ok), 04:18, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну раз даже тебе уже по барабану - мне еще больше по
    > барабану.

    Ты не поверишь: по барабану.
    В отличие от тебя я не сомневаюсь, что раз у нас с тобой хватает ума сравнивать openssl и libressl, то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.
    Так что хочешь - ищи, не хочешь - не ищи, от этого ничего не изменится, особенно для меня.

    > Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить
    > одну-единственную функцию не Б-г весть какая наука.

    Эм.
    https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/#dirlist - lib{ssl,tls}
    Но на самом деле тебе надо было написать в гугле libressl portable и перейти по первой ссылке.

    > Но после нескольких показательных факапов и найденных мной лично грабель с заметанием
    > крошек под ковер - мне просто перестало быть интересно, что там
    > происходит. Идея "вырежем-вырежем все 'лишнее' и будет чудо - та же
    > ssl но без багов" сфейлилась с самого начала.

    Угу, истинна данная тебе в ощущениях. Жаль, что кроме твоих ощущений - ничего. В то время, как есть, например, статистика уязвимостей.

    > Нет смысла дальше тратить время на васянскую поделку. Тем более что они
    > полезли в область, точно не предназначенную для васянов - и выбора
    > у них нет из-за измененной лицензии.

    Ага, раньше ты кричал, что они васяны потому что tls 1.3 "не осилили", а копипастить больше не могут. Интересно (не очень), к чему ты будешь при#####ться теперь?

    И да, никто никого не заставляет тратить время на libressl. Его делают в первую очередь для openbsd, т.е. бОльшую часть людей это никак не касается.

     
     
  • 8.23, пох. (?), 13:03, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    читать - да После того как их прочитают многие нехорошие васяны А исправлять -... текст свёрнут, показать
     
  • 3.21, Аноним (21), 04:04, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что не так с Apache 2.0?
     
     
  • 4.24, пох. (?), 13:14, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дурацкие требования к владельцам патентов.
    Сделанные исключительно с целью ублажить гнусь.

     
     
  • 5.25, Аноним (-), 14:57, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно. Мувик не забудь выложить (если выживешь).
     

  • 1.9, Аноним (-), 13:10, 17/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >в котором устранены две уязвимости:
    >CVE-2021-23841
    >CVE-2021-23840
    >CVE-2021-23839

    Не ну так то да, всего какаято крошечная уязвимость. сорок и сорок, руб сорок, спички брал - да/нет, и того два сорок.

    Или они считают с ноля(нуля)?

     
     
  • 2.26, Аноним (26), 23:51, 18/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.

    OpenSSL 1.1.1 does not have SSLv2 support and therefore is not vulnerable to
    this issue.


    соотв оно не исправлялось.. исправдлено 2, найдено три, но одна в старой версии, которая в новой нихт арбайтн без исправления.

     

  • 1.12, nebularia (ok), 15:00, 17/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда оно научится подписывать CSR с SubjectAltName без костылей, вроде прописывания их вручную в отдельном файле?
     
     
  • 2.13, пох. (?), 15:20, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    always have been.

    Только тебе не понравится механизм, который это делал.

    Ну или детальнее: оно вообще не подписывает никакие "csr", оно подписывает сертификат.
    Который само же и генерит из данных, предоставляемых в csr и тех, которые указаны в конфигах самого ca. Внутри csr никакого готового "сертификата" нет.

    Соответственно, для _любого_ поля у тебя есть теоретически два варианта - сгенерить и взять из csr.
    А практически у нас есть совершенно м-цкая команда copy_extensions, которая имеет ровно два варианта - либо копировать вообще все подряд, либо копировать только то, что отсутствует в наших собственных.

    В *обоих* случаях оно копирует _все_, любой мусор, который васян тебе подсунул в csr - в том числе, а не только altname. Поэтому правильно твой запрос звучит - "когда оно научится, блжад, копировать только то что явно указано и разрешено?!" (и что было в головах тех васянов, которые такой код наструячили)
    А пока - успехов тебе валидировать что в подписуемом нет ничего неположенного - вручную.


     
     
  • 3.15, nebularia (ok), 15:47, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я про возможность подписать через x509 -req. Без написания файла конфига для ca, вот этого всего. Опции -copy_extensions в командной строке бы хватило, но... её нет.
     
     
  • 4.16, пох. (?), 16:16, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в конфиге ca слишком много параметров, чтобы имело хоть малейший смысл тащить их все в командную строку.

    copy_extensions=copy в нем - при этом позволяет не редактировать никакие конфиги ради подписания каждого индивидуального серта. Но ценой существенного усложнения валидации того что ты подписываешь (или увеличения риска подписать какую-нибудь лажу). А при сертификатах со сроком годности в пол-дня, как нынче нам навязали, это никуда не годится.

    Поэтому большинство васянской автоматики работает через автосоздаваемый файлик. Зато в подписанном только то, что ты точно хотел чтобы туда попало - потому что это твой конфиг, а не автора csr. Оттуда, по факту, берется только ключ.


     
  • 2.14, пох. (?), 15:25, 17/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если ты про то что ты не можешь _сгенерировать_ такой csr - так давно уже можно задавать extensions прямо в командной строке.

    Только смысл в этом какой? Эту информацию вполне удобно держать именно в файле, учитывая какой у нее уродливый формат и что ее обычно довольно много. Файл при этом можно использовать отдельный от основного конфига - опять же возможность брать v3exts из отдельного файла давным-давно есть.

    В чем проблема-то? Все равно эти данные надо где-то держать, и они специфичны для каждого отдельного csr.

    Вот подписывать такое - действительно врагу не пожелаешь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру