The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости

10.12.2020 09:22

Сформированы корректирующие выпуски криптографических библиотек OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5, в которых устранена уязвимость (CVE-2020-1971) в обработчике структур ASN.1. Проблема позволяет инициировать крах клиентского или серверного приложения, использующего OpenSSL или LibreSSL, при обработке специально оформленных сертификатов и списков отозванных сертификатов (CRL).

В сертификатах X.509 для представления различных типов имён используется тип GeneralName, подмножеством которого является тип EDIPartyName. Уязвимость вызвана разыменованием нулевого указателя, возникающим при сравнении в функции GENERAL_NAME_cmp двух имён, имеющих тип EDIPartyName. Для эксплуатации уязвимости атакующий должен контролировать значения сравниваемых имён, что возможно, например, при проверке клиентом или сервером специально оформленного сертификата в списке отозванных сертификатов (CRL), который контролирует атакующий (некоторые приложения автоматически загружают CRL на основе указанного в сертификате URL).

  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  3. OpenNews: Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанной с TLS 1.3
  4. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
  5. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  6. OpenNews: Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54233-openssl
Ключевые слова: openssl, libressl, dos
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:40, 10/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ... и в старых вёдрах её никто не пофиксит. Пересборка же библиотеки и подмена её в системе приводит к неработоспособности системы (бутлуп), видимо потому, что JNI-библиотека намертво с ней слинкована (аналогичная ситуация с SQLite, хотя, казалось бы, что у SQLite очень стабильное API). Единственный выход - пересобрать систему в целом. Гугл за благополучие своих партнёров, а через них - и гугла, всех нас поимел.
     
     
  • 2.3, YetAnotherOnanym (ok), 11:54, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > JNI-библиотека

    Если ты про Андроед, то всем, у кого есть голова на плечах, давным-давно понятно, что и Гуглу, и производителям смартфонов накласть на пользователей.

     
     
  • 3.7, Аноним (7), 15:48, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я тебе больше скажу: всем на всех накласть.
    Тебе на меня накласть, мне на тебя накласть.
    Поэтому какбы так себе аргумент про людей с головой на плечах...
     
     
  • 4.8, YetAnotherOnanym (ok), 15:55, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > всем на всех накласть

    Во-первых, как всегда, отучаемся говорить за всех.
    > мне на тебя накласть

    Во-вторых, было бы накласть - не тратил бы время на ответ.

     
     
  • 5.9, Аноним (9), 16:42, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну кого вы обманываете, он ведь прав :)

    И на ответ время тратится исключительно для собственного удовлетворения и уж никак не для того чтобы кому-то нанести добро.

     
     
  • 6.11, ананим.orig (?), 19:13, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Враньё и лукавство.
    Лично я искренне пытаюсь помочь (и в коментах, и в патчах) пока не появляется такой как вы.
    Собсно опеннет в частности (и опенсорс вообще) именно об этом.
     
  • 2.12, Аноним (12), 20:08, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня huawei, вчера пришло обновление безопасности. Смарту года 3.
     
     
  • 3.14, Аноним (14), 23:28, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня Redmi 5 Обновление пришло год назад, но не обновляюсь специально, потому что они постоянно ломают всё и замедляют
     
     
  • 4.29, kmeaw (?), 07:55, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторые обновления содержат новые настройки для клиента обновлений. Поэтому по "обновление пришло год назад" нельзя сделать вывод, что нет свежих обновлений.
     

  • 1.2, Аноним (1), 09:45, 10/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А могилле отдельное спасибо за новый файрфокс для ведёр. И за невозможность для обычных людей поэкспериментировать со сборкой нового Firefox для старых ведёр.
     
  • 1.4, Аноним (4), 13:44, 10/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > вызвана разыменованием нулевого указателя

    ha-ha, classic

     
     
  • 2.10, ИмяХ (?), 18:55, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если бы была растишка, то такого бы не было.
     
     
  • 3.13, Анан (?), 21:26, 10/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    давно пора перписать хотябы OpenSSL
     
  • 3.21, Аноним (21), 00:17, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы. Хорэ уже себя обманывать и вводить людей в заблуждение. На растишке оно бы просто падало и всё.
     
     
  • 4.26, Аноним (26), 06:39, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Руст всё ещё не защищает от 99% ошибок, прекрати обманывать себя и остальных.
     
  • 3.27, Анон332 (?), 00:56, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фрактал, ну может уже хватит?
     
  • 2.28, Аноньимъ (ok), 06:09, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, технологии древних позволявшие писать без ошибок забыты. Сишка победила.
     

  • 1.5, лютый жабби__ (?), 13:46, 10/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    кваква, зачем Continent, когда есть волшебный openssl?
     
  • 1.6, Андрей (??), 14:18, 10/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5,

    Но ведь в LibreSSL не должно было быть такого бага. Они же там всё почистили </ирония>. И это же единственное преимущество. Было.

     
  • 1.15, Аноним (15), 03:03, 11/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимость вызвана разыменованием нулевого указателя

    Не надоело писать на дырявом языке?

     
     
  • 2.16, Аноним (-), 06:49, 11/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Язык не может быть дырявым. Это у некоторых программистов руки растут из жопы.
     
     
  • 3.17, лютый жабби__ (?), 08:52, 11/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Это у некоторых программистов руки растут из жопы.

    теоретик опеннета ) у всех программистов встречаются ошибки, в ЛУЧШЕМ случае около 1 на 1000 строчек...

     
     
  • 4.24, Аноним (21), 00:25, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А чего ты завёлся? Сам же теоретик да едё и с цифрами от балды. От то таки прав. Только у растоманов одних святая вера что язык за них всё сделает. При этом дальше hello world они не писали и врятли напишут. Мозга не хватит.
     
  • 3.18, Аноним (18), 09:43, 11/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://upload.wikimedia.org/wikipedia/commons/3/3a/Piercing.jpg
     
     
  • 4.25, Аноним (21), 00:27, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А сказать то что хотел?
     
  • 3.30, red75prim (?), 10:30, 13/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Переведу на более понятный язык: "Отсутствие техники безопасности не может приводить к проблемам - это люди тупые".
     
  • 2.22, Аноним (21), 00:18, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе очевидно лучше вообще ничего ни писать. Ни на каком языке.
     

  • 1.19, Аноним (19), 10:15, 11/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ASN.1 - это рак, конечно
     
     
  • 2.20, Ivan_83 (ok), 13:48, 11/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что такого?
    Он как xml, json только бинарный.
     
     
  • 3.23, Аноним (21), 00:19, 12/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и вылез обжэсоненый с ног до головы.
     
     
  • 4.32, пох. (?), 11:31, 15/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну правду же при этом сказал - он и действительно "как xml" (то есть не распарсишь без громадной, кишащей неустранимыми, просто в силу размеров кода, багами, библиотеки) - только еще и бинарный, c совершенно невменяемой внутренней структурой. ;-)

    То ли рептилоиды нам на погибель придумали, то ли NSA, то ли просто сборище идиотов, собравшихся в комитет по причине профнепригодности ни для чего полезного. Ставлю на идиотов.

     
     
  • 5.33, Ivan_83 (ok), 01:59, 26/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Код парсинга ASN.1 довольно простой и компактный, по крайней мере у меня получился.
    Для json, xml кода больше.
    Все эти форматы решают в общем то одну задачу: хранения данных в которых есть иерархия/вложенность.
    Есть ещё гугловый протобуф, и теперь видимо то что в http2, но видимо оно ещё хуже.
     

  • 1.31, Ефросий (?), 10:08, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Везде пишут про 1.1.1, а что там с дебианами? Всё ещё "The impact of this issue on OpenSSL 1.1.0 has not been analysed."?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру