The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление OpenSSL с устранением 14 уязвимостей

22.09.2016 18:31

Доступны корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i, в которых отмечено 14 уязвимостей, одной из них (CVE-2016-6304) присвоен высокий уровень опасности. Уязвимость CVE-2016-6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти.

Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией "no-ocsp". Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках.

В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд.

  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  3. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  4. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  5. OpenNews: Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей
  6. OpenNews: Google перешел c OpenSSL на BoringSSL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45195-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Michael Shigorin (ok), 20:40, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    http://packages.altlinux.org/openssl10
     
     
  • 2.2, Аноним (-), 21:22, 22/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Возьми с полки пирожок.
     
     
  • 3.4, vantoo (ok), 21:48, 22/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты вместе с ключами автоматически отправляются куда надо.
     
     
  • 4.21, Michael Shigorin (ok), 23:57, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Там небось и закладочка от ФСБ добавлена, может и сгенерированные сертификаты
    > вместе с ключами автоматически отправляются куда надо.

    О, а давайте Вы её в исходниках (или того почётней -- бинарниках) найдёте и всей правдою припечатаете нас со злокозненными коллегами к стенке?  Ну или разглядывая tcpdump уж на самый крайняк.  Заодно за спеца сойдёте, а не гадалку на кофейной гуще.

     
  • 2.3, Ilya Indigo (ok), 21:36, 22/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?
    Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?
     
     
  • 3.5, тигар (ok), 22:04, 22/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    наверное это сложнее нежели поправить 1-2 байта в файлике по которому миша построит свежую версию openssl и напишет комментом ссылку на Нужный Пакет для АрхиНужного дистрибутива.
     
     
  • 4.6, аноним сегодня (?), 22:41, 22/09/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну вот, опять наехали на Михаила. Михаил, например, как модератор-информатор очень хорош. Всегда проверяет ip подозрительных авторов перед их удалением и отсылает инфу куда нужно по мере необходимости. Просто немного не совсем своим делом он вдогонку ещё занимается. Пакеты какие-то. Не нужно распыляться, Михаил. Я считаю, каждый должен быть на своём месте.
     
     
  • 5.8, Кулак (?), 05:42, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы еще потерпим, но потом в овощной отдел переместим Михаила.
     
  • 5.16, vantoo (ok), 13:45, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да он вообще очень трудолюбивый и увлеченный своим делом человек. Не раз бывало перейду я случайно по какой-то ссылке, или через Гугл на любой новостной сайт, который я в первый раз вижу, и сразу под статьей в комментах попадается знакомый ник со знакомой фоткой, естественно втирающий про внешних и внутренних врагов и мудрый курс непорочного правительства во главе с Самим. А сколько мне на Ютюбе в комментах под видео попадался данный персонаж, и не счесть. И главно, все угрожает всем, согражданам 37-м годом, гражданам других стран оккупацией, с последующим вешанием на столбах. Судя по всему очень грозный в жизни человек, наверняка гора мышц и меткий пристрелянный глаз. Вот только те, кто 37-го года хотят, думают, что с наганом будут именно они, а ведь может оказаться так, что наган окажется у их затылка. История говорит, что ни один нарком внутренних дел СССР свой смертью не умер.
     
     
  • 6.18, Michael Shigorin (ok), 23:49, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Да Вы, получается, очень трудолюбивый и увлеченный своим делом человек -- причём... большой текст свёрнут, показать
     
     
  • 7.23, Аноним (-), 02:43, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Дорогой ребенок, когда ты хочешь кого-то опорочить, постарайся после каждого своего высера писать ссылки на доказательства, иначе самому последнему дурачку в этих ваших Интернетах станет понятно, что ты врунишка с маленьким-маленьким чувством собственного достоинства.
     
     
  • 8.24, Аноним (-), 02:44, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Написано к http www opennet ru openforum vsluhforumID3 109194 html 16 ... текст свёрнут, показать
     
     
  • 9.30, тигар (ok), 09:08, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в т н хохлосрачах поищи, я мишку в комментах ютупа видал тоже, например ... текст свёрнут, показать
     
  • 9.33, Crazy Alex (??), 11:02, 25/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты всерьёз предлагаешь эту его хрень собачью коллекционировать ... текст свёрнут, показать
     
  • 3.9, iPony (?), 06:19, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?

    Ну позерство с цифрами - это конечно одно...
    Ну вот в 1.1 в OpenSSL наменяли API, поэтому да - не всё так просто.

     
  • 3.13, Аноним (-), 11:53, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот поэтому nixos / nixpkgs рулит.
     
  • 3.35, Michael Shigorin (ok), 19:23, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему Сизиф, как и остальные ролинги не спешат переходить на 1.1.0?

    Не пришлось долго ждать https://www.opennet.ru/opennews/art.shtml?num=45215

    > Софт, предназначенный для 1.0.2 не собирается с ней, или что-то ещё?

    Майнтейнер говорит, что уехало и ABI, и API, и с ней не собирался даже OpenSSH.
    "Рано", мол.

     
  • 2.10, Нет (?), 09:44, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг, ща мы с потсонами с 7Б затралим шыгорина гггг".

    Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте остальную аудиторию.

     
     
  • 3.11, Клыкастый (ok), 11:00, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Горящее школоло - неотъемлемая часть опеннета и источник хорошего настроения. Я вот не понимаю юмора Митрофанова и не согласен с некоторыми пунктиками Шигорина, но как от них полыхает у детей - бесценно. Так что не стОит школоту вразумлять, да и бесполезно это...
     
     
  • 4.19, Michael Shigorin (ok), 23:51, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так что не стОит школоту вразумлять, да и бесполезно это...

    Ну почему, меня же разные люди по разным поводам успешно вразумляли -- помните, может, пикировки с BSD-шниками а-ля never@ лет десять тому?  А здесь нашлись толковые и спокойные, которых было за что уважать и о чём послушать.

    Что до несогласия -- так это ж нормально :)  Разные люди, разные взгляды, тараканы тоже...

     
     
  • 5.25, Аноним (-), 02:48, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально - это когда мнение обоснованно и оппонент готов обосновывать его, а не переходить на личности. Школьные же вбросы из серии "играй гормон - завтра в баню" смысла не имеют.
     
  • 4.27, Аноним (-), 03:09, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Знаешь сколько вас таких, которые не понимают? Имя вам - легион. Но вместо того, чтобы спросить, вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете. А так же глубокомысленные выводы из этого. И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.

    Считай это подарком, коко.

     
     
  • 5.34, Клыкастый (ok), 10:21, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Знаешь сколько вас таких, которые не понимают?

    Шуток Митрофанова? Думаю, хватает.

    > Но вместо того, чтобы спросить,

    Объяснить шутку? Даже если её объяснят, она перестаёт быть шуткой.

    > вы будете и дальше писать пространственные комментарии про школоту и как вы чего-то не понимаете.

    А ты - страдай.

    > И обязательно с правильным ударением, а то вдруг кто-то что-то не так подумает.

    Походу ещё и на смысле ударение надо делать - не все дегенераты понимают, о чём речь.

    > Считай это подарком

    Оставь себе, у тебя и так немного.


     
  • 3.12, Наркоман (?), 11:52, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Особенно в комментариях под новостями, связанными с политикой или феминистками заметно какой сайт хороший. Ещё и модераторы сами огонька поддают.
     
  • 3.14, тигар (ok), 11:54, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > МЫшленье на марше. Два комментария более-менее по сути статьи, остальное - "гггг,
    > ща мы с потсонами с 7Б затралим шыгорина гггг".
    > Дурачки, очнитесь, не позорьте своими скудоумными потугами хороший сайт. Вы ж вроде
    > как интеллектуалы должны быть, не? Не позорьтесь сами и не позорьте
    > остальную аудиторию.

    видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl в пределах версии и правда проще, нежели сменить версию openssl. а для "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

     
     
  • 4.20, Michael Shigorin (ok), 23:53, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > видимо "марш мышления" до тебя еще не домаршировал. а обновить пакет openssl
    > в пределах версии и правда проще, нежели сменить версию openssl. а для
    > "собрать пакет со следующей букавкой" и правда достаточно элементарных действий.

    Есть ещё моментик насчёт узнать и подготовиться.  Впрочем, фряшный майнтейнер тоже наверняка знал заранее.  Вы -- вряд ли.  А я слышал голосом, но соблюдал эмбарго. :)

    PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  Можете изрядно удивиться по крайней мере по одному случаю.

     
     
  • 5.28, Аноним (-), 03:16, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычно детям категорически не нравится, что говорит Шигорин. Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри. Но. Возразить ему - это во-первых моветон, а главное это так страшно, что не один чемпион ночной вазы на это, конечно, не подпишется. Поэтому только минусы.

    Для друзей карапуза количество минусов гораздо важней всего остального на свете.

     
     
  • 6.32, Michael Shigorin (ok), 12:40, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Обычно детям категорически не нравится, что говорит Шигорин.

    Значит, надо как-то применяться и к детям, контакт-то и впрямь скорее утерян.

    > Оно и понятно, ведь каждый карапуз лучше Шигорина знает, как оно там обстоит изнутри.

    Не, "тигар" явно не карапуз, он оппонент :)  Но самонадеянный, не в теме, потому и не знает как минимум про не столь давнее изменение форматирование даже старых веток openssl, доставившее немало головняка на ровном месте тем, у кого развесистые патчсеты...

    И чтоб два раза не вставать, отвечу ему сразу на #31, раз сам неспособен спросить altlinux openssl patches у ближайшего поисковива: http://packages.altlinux.org/ru/Sisyphus/srpms/openssl10/patches

     
  • 5.31, тигар (ok), 09:15, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > PS: кстати, можете оного майнтейнера спросить, а верно ли Ваше утверждение.  
    > Можете изрядно удивиться по крайней мере по одному случаю.

    svn diff -c414534, примеру. по ports@head.
    в вашем ненужном альте, насколько я помнить, rpm. нужно дофига знаний чтобы в spec файле поменять циферку и пересобраться?:-) или у вас есть рукожо^Wспециалисты, которые падчат опенссл под альт?;)

     

  • 1.7, Аноним (-), 01:58, 23/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Мыши плакали кололись, но продолжали OpenSSL
     
     
  • 2.17, YetAnotherOnanym (ok), 22:20, 23/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно ещё погрызть ободранную до блеска косточку LibreSSL.
     
     
  • 3.26, Аноним (-), 02:55, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно ещё погрызть ободранную до блеска косточку LibreSSL.

    Не понял, а где же комментарии инфантов, что дескать комментатор должен заткнуться и сделать форк openssl? Осень убила опеннет.

    Даешь осенние каникулы!

     
  • 3.29, Аноним (-), 04:50, 24/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье имеет конкретные претензии, основанные на опыте, или так, слышал звон?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру