The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Компрометация SSL сертификатов из-за уязвимости, о..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Компрометация SSL сертификатов из-за уязвимости, о..."  
Сообщение от opennews (ok) on 17-Июн-08, 20:53 
Исследование (http://news.netcraft.com/SSL-survey), проведенное компанией Netcraft в июне выявило значительное количество SSL сертификатов, на которые наложила отпечаток недавно обнаруженная уязвимость (https://www.opennet.ru/opennews/art.shtml?num=15846) в пакете Debian OpenSSL. Не остались в стороне ни Extended Validation SSL сертификаты, ни сертификаты, принадлежащие банкам.

Пораженные сертификаты позволяют злоумышленникам создавать сайты, которые используют имитации легитимных сертификатов. В случае EV сертификатов, при входе на такой сайт его адрес будет подсвечен зеленым, даже если использован клонированный сертификат.

С точки зрения взломщика, основная трудность заключается в подавлении сообщения браузера о том, что адрес сайта в сертификате не совпадает с адресом, который вводит пользователь. В этом случае взломщику необходимо как-то подделать результат DNS-запроса или завладеть ресурсами локальной сети пользователя.

13 мая Debian выпустил предупреждение, сообщающее об уя...

URL: http://news.netcraft.com/archives/2008/06/12/ssl_certificate...
Новость: https://www.opennet.ru/opennews/art.shtml?num=16523

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от belkin (ok) on 17-Июн-08, 20:53 
Debian'овцы самые умные в чужом софте ковыряться? Мрак.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от curufinwe (ok) on 17-Июн-08, 21:14 
баян
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от Аноним (??) on 17-Июн-08, 22:08 
>баян

Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на Debian серверах. Это не баян, а п%&^#$.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от crypt (??) on 18-Июн-08, 00:21 
>>баян
>
>Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на
>Debian серверах. Это не баян, а п%&^#$.

Обычно клиент сам генерирует пару ключей, замем открытый ключ в виде запроса на сертификат отправляет в СА где ему выпускают и продают сертификат.
В данном случае "попали" клиенты, которые генерировали пары ключей для своих сайтов у себя, с использованием кривого OpenSSL.
"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от prapor (??) on 18-Июн-08, 02:58 
Нет, это разработчики OpenSSL самые умные, чтобы отклонить патч не пояснив почему он не корректен. Мейнтейнеры просто посчитали что нашли ошибку и исправили.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от spamtrap (ok) on 18-Июн-08, 10:16 
>"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.

та это понятно, никто вроде и не спорит

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от Michael Shigorin email(ok) on 18-Июн-08, 11:55 
Нет, это таки дебиановцы самые умные -- забыли правило don't fix what ain't broke и решили, что умней апстрима.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от User294 (ok) on 18-Июн-08, 12:02 
>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what
>ain't broke и решили, что умней апстрима.

Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd 1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - Д`Артаньян".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от pavel_simple (??) on 18-Июн-08, 12:12 
>>Нет, это таки дебиановцы самые умные -- забыли правило don't fix what
>>ain't broke и решили, что умней апстрима.
>
>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают
>lighttpd 1.4.13 версии с секурити фиксами в то время как все
>вменяемые люди юзают .18 давно.Может конечно они самые умные и за
>стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще
>куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге
>дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я -
>Д`Артаньян".

на вкус и цвет....
а вообще РЫБЯТЫ -- долго мы будем ещё это обсуждать? -- всё ведь просто "Не ошибается тот, кто ничего не делает". Да есть косяк, зато его очень быстро починили и предоставили в кратчайший срок инструменты для исправления/тестирования пользователям.
Забыть уж давно пора... ан нет ... Debian то, Debian сё... а главный вопрос заключается в том что "Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутствии подобных ошибок в нём?"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Компрометация SSL сертификатов из-за уязвимости, обнаруженно..."  
Сообщение от favourite email(??) on 19-Июн-08, 06:55 
>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd
>1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может
>конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже,
>википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге
>дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я -
>Д`Артаньян".

Если честно, сильно бесит когда трындят на форуме о чём не знают!
Позиция дебианщиков (почитай дебиан-полиси) в данном случае не в том, что .18 нестабильная
версия, а в том что в stable принципиально не меняется версия. Ибо в апстриме может , к примеру, формат сонфигурационного файла измениться или название каких либо опций и тп. В этом случае после aptitude update && aptitude upgrade получаем ситуацию в которой " вчера всё работало, проапдейтился - работать перестало!"
С другой стороны. Предположим, я год назад настроил тот же lighttpd v1.4.13 так, как мне нужно. С какого перепугу нужно апгрейдить на новую версию? Секюрити тим выпускает исправления безопасности, а для остального в силе принцип "работает -не трожь!"
Если же мне нужны какие-то фичи, реализованные в более новой версии - можно сбэкпортить практически любой пакет за пять минут ( на крайняк взять готовый на backports.org)
При этом я явно беру на себя все заботы по безопасности этого пакета на себя.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру