The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанной с TLS 1.3

21.04.2020 21:31

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1g, в котором устранена уязвимость (CVE-2020-1967), приводящая к отказу в обслуживании при попытке согласовать соединение TLS 1.3 с подконтрольным злоумышленнику сервером или клиентом. Уязвимости присвоен высокий уровень опасности, так как она может использоваться для инициирования краха различных серверных приложений, собранных с OpenSSL.

Проблема проявляется только в приложениях, использующих функцию SSL_check_chain(), и приводит к краху процесса при некорректном использовании TLS-расширения "signature_algorithms_cert". В частности, при получении в процессе согласования соединения неподдерживаемого или неверного значения алгоритма обработки цифровых подписей возникает разыменование нулевого указателя и крах процесса. Проблема проявляется начиная с выпуска OpenSSL 1.1.1d.

Примечательно, что уязвимость была найдена при тестировании экспериментального режима статического анализа "-fanalyzer", предложенного в ветке GCC 10, первый стабильный релиз которой ожидается в начале мая. Указанный режим выполняет ресурсоёмкий межпроцедурный анализ путей выполнения кода и потоков данных в программе. Режим способен выявлять такие проблемы, как двойной вызов функции free() для одной области памяти, утечки файловых дескрипторов, разыменование и передачу нулевых указателей, обращение к освобождённым блокам памяти, использование неинициализированных значений и т.п.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
  3. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  4. OpenNews: Завершён аудит реализации TLS 1.3 в OpenSSL 1.1.1
  5. OpenNews: Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков
  6. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.1
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52782-openssl
Ключевые слова: openssl, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 21:59, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какова вероятность, что все эти крупные игроки (типа мс), до сих пор юзающие 1.2 (полную уязвимых и устаревших возможностей), о чём то таком знали? В частности, о наличии сомнительных "расширений"? Как часто проводится аудит более ранних, чем 1.3, версий (среди которых полно уязвимых и устаревших возможностей)?
     
     
  • 2.4, нах. (?), 22:08, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    о том что наспех сляпанная хвостатыми и проталкиваемая во все дыры с остервенением дорвавшегося кролика версия 1.3 окажется еще хуже "уязвимой и устаревшей" 1.0 (не говоря уже о более новых) - разумеется, знали. Не такие уж они идиоты.

     
     
  • 3.6, Сейд (ok), 23:14, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хвостатыми обезьянами?
     
     
  • 4.12, нах. (?), 12:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Хвостатыми обезьянами?

    я в таксономии плаваю - но сто процентов это не рептилоиды.

    Может, олени?

     
     
  • 5.18, Сейд (ok), 22:09, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Волки! https://richard.levitte.org/
    А в программировании вы не плаваете?
     
     
  • 6.19, нах. (?), 00:01, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    этот волчара плюшевый последние годы все больше в доки комитил (не в CoC.md, и на том спасибо), стареет, видать. А может наоборот, наконец-то нашел работу и не стало времени на глупости всякие.

    "Инновациями", в том числе и tls1.3, там занят в основном некто mattcaswell, хз что за зверюшка, но беда не в нем, а в том что у несчастного файлика 54 автора.

     
  • 3.20, mikhailnov (ok), 19:51, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а в чем претензии к TLS 1.3?
     
     
  • 4.23, нах. (?), 23:00, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В том что непонятно, какую высосанную из пальца проблему оно решает.

    Какие на пустом месте создает - понятно.

     
  • 2.9, Ivan_83 (ok), 08:52, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Им трудно переезжать на новое, ибо сломается куча говнокода старого.
    Знакомая по работе ситуация.
     
     
  • 3.13, нах. (?), 12:36, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Им трудно переезжать на новое, ибо сломается куча говнокода старого.

    даже если (случайно) не сломается - это просто совершенно ненужная деятельность.
    Ни один продукт ms не будет выкинут (в отличие от 6ешплатного г-на) потому что не поддерживает новомодное ненужно.

    И никакой гугль пока еще не в силах их заставить.

     
     
  • 4.21, А (??), 22:48, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Скайп Фор Бузинес выкидывается, Семёрка выкинута (хотя и стараются на ней остаться, но выкинута в пользу значительно иной вещи Вин10), Икс-Пи - уже даже и забыли название это и под неё уже софт не весь работает. Офис уже в облаке, умеет рекомендовать с какими контактами по работе рекомендуется больше/меньше общаться, и как ты время теряешь - это выкидывается настольный софт в пользу облачного.

    Десяточку сейчас зативоизируют-вхардкодят и выбрасывать начнут ещё чаще и больше в пользу своих бизнес интересов модно-молодёжно-перспективных.

    Не сотвори себе кумира. Меньше разочарований.

     
     
  • 5.22, нах. (?), 22:59, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Скайп Фор Бузинес выкидывается, Семёрка выкинута

    [skip]
    так это-то все понятно, зачем делается. А чего ради сами себе создавать проблемы с поддержкой только-распоследнего-модного-бесполезно-tls - непонятно.
    У них и так все работает.

    А чудес от Кумара у руля и не ждет никто.

    (но, кстати, мы тут на сцайпворбизнес надысь перешли! Ага, не с, а на. С lync, естественно. Лицензию типа продали, не поморщились. Обратная совместимость частичная - "комнаты" не видны. На teams, полагаю, уже апгрейда не будет - он останется только облачный, пока соберемся.)

     

  • 1.7, Ilya Indigo (ok), 02:33, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Помогите разобраться, кто в курсе.
    Недавно протестировал на https://www.immuniweb.com/ssl/?id=qRWVJNq1 свои postfix/dovecot/nginx сервера и удивился таким результатам.



    /* postfix/dovecot/nginx */
    SERVER DOES NOT SUPPORT EXTENDED MASTER SECRET
    The server does not support Extended Master Secret extension for TLS vresions ≤ 1.2.

    /* postfix/dovecot */
    SERVER DOES NOT SUPPORT KEY SHARE
    The server does not support Key Share extension for TLS 1.3.

    /* postfix/dovecot */
    SERVER DOES NOT SUPPORT SUPPORTED VERSIONS
    The server does not support Supported Versions extension for TLS 1.3.

    Тема гуглится очень плохо и я только понял что это далеко не новые расширения которые работают из коробки без всяких заморочек ещё с openSSL 1.1.0.

    В nginx явно об этом ответили https://forum.nginx.org/read.php?2,272703,272704

    Но этот сервис говорит что мои сервера их не поддерживают.
    Это глюк этого теста или у меня в самом деле что-то не включено?

    P.S. Как минимум, этот сервис не видит у меня сифер chacha20-Poly1305 для TLS 1.2, но он у меня есть!

     
     
  • 2.10, YetAnotherOnanym (ok), 10:38, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Значит, выход один - взять клиента, который умеет вываливать дебаг каждого шага установки ссл-соединения, и проверить свои сервера с его помощью.
     
  • 2.11, Hedgehog (??), 11:36, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://testssl.sh в помощь
     
     
  • 3.14, Ilya Indigo (ok), 17:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю за полезную утилиту!
    TLS extensions (standard)    "renegotiation info/#65281" "server name/#0" "EC point formats/#11"
                                  "session ticket/#35" "next protocol/#13172" "supported versions/#43"
                                  "key share/#51" "status request/#5" "max fragment length/#1"
                                  "application layer protocol negotiation/#16"
                                  "extended master secret/#23"
    Как я и думал это глюки сервиса.
     
     
  • 4.15, Аноним (2), 19:46, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот эту бери, я чёта подзабыл, что она существует, а ведь мастхэвная весч   https://addons.mozilla.org/en-US/firefox/addon/flagfox/
     
     
  • 5.16, Ilya Indigo (ok), 20:04, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это я должен догадаться, что у расширения Flagfox есть опция проверить SSL через https://www.ssllabs.com ?
    А сразу нельзя было просто дать ссылку на него или написать sslabs?

    1 Способен проверить только веб-сервер.
    2 Он вообще не проверяет расширения, об отсутствии которых я упоминал.
    3 То что он умеет по большей части он сам использует из testssl.sh.
    4 Из того что он использует своего он, как минимум, 0-RTT enabled распознать не может.

     
     
  • 6.17, Аноним (2), 20:29, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно было и догадаться. Ну я вообще имел в виду https://observatory.mozilla.org/ который дёргает апи ssllabs immuniweb и всех остальных. И это скорее про удобство. Как говорится, не нравится, не ешь. Это тебе не винегрет размешанный в супе (c) какая-то ТП из правительства.
     
  • 2.24, suffix (ok), 17:23, 28/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Починили:

    https://www.immuniweb.com/ssl/?id=2zC2VSPt

     
     
  • 3.25, Ilya Indigo (ok), 18:36, 28/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Починили:
    > https://www.immuniweb.com/ssl/?id=2zC2VSPt

    Здорово!
    > Supports OCSP Stapling Yes

    Жду от postfix и dovecot поддержки OCSP Stapling. :-(

     
     
  • 4.26, suffix (ok), 14:12, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Жду от postfix и dovecot поддержки OCSP Stapling. :-(

    Автор dovecot принципиально против и я его в целом понимаю.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру