forum.opennet.ru - "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов" (12)

"Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов"	+/–
Сообщение от opennews (??), 16-Мрт-22, 12:11
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56863
Ответить \| Правка \| Cообщить модератору

Оглавление

Готовый эксплойт есть , Аноним (1), 12:11 , 16-Мрт-22, (1)

Это упенсурз - СДЕЛАЙ САМ , Анон22 (?), 12:19 , 16-Мрт-22, (2) +3
На основе условий из тестов можно сертификат поменятьhttps github com openssl , Аноним (3), 12:20 , 16-Мрт-22, (3) +1

Верно ли, что любой почтовик может быть эксплуатирован - посыланием на него пись, Кровосток (?), 14:38 , 16-Мрт-22, (4)

С какого перепугу почтовик должен принимать письма на некорректный ящик и после, Тот самый (?), 23:34 , 16-Мрт-22, (8) +1
Не любой Тундра например как и ФФ использует NSS собственная разработка Мози, Kuromi (ok), 00:55 , 17-Мрт-22, (9)

Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих, another_one (ok), 19:59 , 16-Мрт-22, (5) +2

Зачем нужен процессор AMD, если в результате эксплоиты повторяются с Intel Этал, Alexey (??), 20:44 , 16-Мрт-22, (6) –2

Не повторяются Работающих между уровнями привилегий дырок так и нет , Онаним (?), 21:17 , 16-Мрт-22, (7) +2

Они взяли код OpenSSL и начали его причесывать и чистить Очевидно что уязвимо, Kuromi (ok), 00:56 , 17-Мрт-22, (10)

Не очевидно , Брат Анон (ok), 08:09 , 17-Мрт-22, (11) +1
В результате не смогли вычистить ни одной серьезной уязвимости - все они ВНЕЗАПН, пох. (?), 11:28 , 17-Мрт-22, (12)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +/–

Сообщение от Аноним (1), 16-Мрт-22, 12:11

Готовый эксплойт есть?

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +3 +/–

Сообщение от Анон22 (?), 16-Мрт-22, 12:19

Это упенсурз - СДЕЛАЙ САМ.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +1 +/–

Сообщение от Аноним (3), 16-Мрт-22, 12:20

На основе условий из тестов можно сертификат поменять
https://github.com/openssl/openssl/commit/3469282ed2faee7478...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +/–

Сообщение от Кровосток (?), 16-Мрт-22, 14:38

Верно ли, что любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку на зловредный сервер который предоставит эксплойт-сертификат?

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +1 +/–

Сообщение от Тот самый (?), 16-Мрт-22, 23:34

>любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку
С какого перепугу почтовик должен принимать "письма на некорректный ящик и последующим ответом отлупа в обратку"? Это мечта спамеров - готовый релей для рассылки. Отлуп должен быть еще на этапе приема: No such address here

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +/–

Сообщение от Kuromi (ok), 17-Мрт-22, 00:55

Не любой. Тундра например (как и ФФ) использует NSS (собственная разработка Мозиллы) и там не сработает.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +2 +/–

Сообщение от another_one (ok), 16-Мрт-22, 19:59

Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." –2 +/–

Сообщение от Alexey (??), 16-Мрт-22, 20:44

Зачем нужен процессор AMD, если в результате эксплоиты повторяются с Intel. Эталонный NIH синдром. Логика какая-то такая.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +2 +/–

Сообщение от Онаним (?), 16-Мрт-22, 21:17

Не повторяются. Работающих между уровнями привилегий дырок так и нет.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +/–

Сообщение от Kuromi (ok), 17-Мрт-22, 00:56

Они взяли код OpenSSL и начали его "причесывать" и чистить. Очевидно что уязвимость оказалась в том коде до которого чистка еще не дошла.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +1 +/–

Сообщение от Брат Анон (ok), 17-Мрт-22, 08:09

Не очевидно.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..." +/–

Сообщение от пох. (?), 17-Мрт-22, 11:28

В результате не смогли вычистить ни одной серьезной уязвимости - все они ВНЕЗАПНО оказывались из тех до которых "чистка не дошла". И никогда не дойдет, поскольку нужной квалификацией эти ребята не обладают.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+/–
Сообщение от Аноним (1), 16-Мрт-22, 12:11
Готовый эксплойт есть?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+3 +/–
	Сообщение от Анон22 (?), 16-Мрт-22, 12:19
	Это упенсурз - СДЕЛАЙ САМ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+1 +/–
	Сообщение от Аноним (3), 16-Мрт-22, 12:20
	На основе условий из тестов можно сертификат поменять https://github.com/openssl/openssl/commit/3469282ed2faee7478...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+/–
Сообщение от Кровосток (?), 16-Мрт-22, 14:38
Верно ли, что любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку на зловредный сервер который предоставит эксплойт-сертификат?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+1 +/–
	Сообщение от Тот самый (?), 16-Мрт-22, 23:34
	>любой почтовик может быть эксплуатирован - посыланием на него письма на некорректный ящик и последующим ответом отлупа в обратку С какого перепугу почтовик должен принимать "письма на некорректный ящик и последующим ответом отлупа в обратку"? Это мечта спамеров - готовый релей для рассылки. Отлуп должен быть еще на этапе приема: No such address here
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+/–
	Сообщение от Kuromi (ok), 17-Мрт-22, 00:55
	Не любой. Тундра например (как и ФФ) использует NSS (собственная разработка Мозиллы) и там не сработает.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

5. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+2 +/–
Сообщение от another_one (ok), 16-Мрт-22, 19:59
Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	–2 +/–
	Сообщение от Alexey (??), 16-Мрт-22, 20:44
	Зачем нужен процессор AMD, если в результате эксплоиты повторяются с Intel. Эталонный NIH синдром. Логика какая-то такая.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+2 +/–
	Сообщение от Онаним (?), 16-Мрт-22, 21:17
	Не повторяются. Работающих между уровнями привилегий дырок так и нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+/–
	Сообщение от Kuromi (ok), 17-Мрт-22, 00:56
	Они взяли код OpenSSL и начали его "причесывать" и чистить. Очевидно что уязвимость оказалась в том коде до которого чистка еще не дошла.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	11. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+1 +/–
	Сообщение от Брат Анон (ok), 17-Мрт-22, 08:09
	Не очевидно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию п..."	+/–
	Сообщение от пох. (?), 17-Мрт-22, 11:28
	В результате не смогли вычистить ни одной серьезной уязвимости - все они ВНЕЗАПНО оказывались из тех до которых "чистка не дошла". И никогда не дойдет, поскольку нужной квалификацией эти ребята не обладают.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору