The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"  +/
Сообщение от opennews (ok), 17-Фев-21, 09:40 
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1j, в котором  устранены две уязвимости:...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54601

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Lex (??), 17-Фев-21, 09:41   –3 +/
> OpenBSD.. возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде

Это вам не какой-то школьнолинух говорили они.. это серьезный продукт, который кодят профессора и академики говорили они... тут все идёт по пл..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Ssss (?), 17-Фев-21, 09:45   +/
В либрессл дыр нет, но никто не юзает
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от jkhjh (?), 17-Фев-21, 10:02   +/
Читать не писать, правда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #7

5. Сообщение от пох. (?), 17-Фев-21, 10:51   –1 +/
В том и дело что в ней все дыры из openssl, ни одной не пропустили.
И при этом есть собственные, и дальше будет больше (из-за изменения лицензии, сделанного специально для них, чтобы они не могли копипастить исправления из openssl).

А код никто кроме трехвасянов из опенка не смотрит и ничего в нем не исправляет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #10, #21

6. Сообщение от Lex (??), 17-Фев-21, 11:03   –2 +/
"Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"

Таки да. Равно как и "развивать" - лепить новые выпуски, но из старого кода, ведь с новым - что-то отваливается у сумрачного гения

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11

7. Сообщение от Аноним (7), 17-Фев-21, 11:09   +3 +/
> Читать не писать, правда?

А писать не читать, не так ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (-), 17-Фев-21, 13:10   –2 +/
>в котором устранены две уязвимости:
>CVE-2021-23841
>CVE-2021-23840
>CVE-2021-23839

Не ну так то да, всего какаято крошечная уязвимость. сорок и сорок, руб сорок, спички брал - да/нет, и того два сорок.

Или они считают с ноля(нуля)?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

10. Сообщение от Дон Ягон (ok), 17-Фев-21, 13:31   –2 +/
https://www.cvedetails.com/product/30688/Openbsd-Libressl.html
vs
https://www.cvedetails.com/product/383/Openssl-Openssl.html

Ну да, ни одной не пропустили.
Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в libre...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17

11. Сообщение от Аноним (-), 17-Фев-21, 13:58   –2 +/
> "Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает
> форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"
> Таки да. Равно как и "развивать" - лепить новые выпуски, но из
> старого кода, ведь с новым - что-то отваливается у сумрачного гения

Да понятно, что читать целиком,
"из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. "
да еще и понимать прочитанное - это не про л4пчтаых в режиме джих^W Священной Ярости.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от nebularia (ok), 17-Фев-21, 15:00   –1 +/
Когда оно научится подписывать CSR с SubjectAltName без костылей, вроде прописывания их вручную в отдельном файле?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14

13. Сообщение от пох. (?), 17-Фев-21, 15:20   +/
always have been.

Только тебе не понравится механизм, который это делал.

Ну или детальнее: оно вообще не подписывает никакие "csr", оно подписывает сертификат.
Который само же и генерит из данных, предоставляемых в csr и тех, которые указаны в конфигах самого ca. Внутри csr никакого готового "сертификата" нет.

Соответственно, для _любого_ поля у тебя есть теоретически два варианта - сгенерить и взять из csr.
А практически у нас есть совершенно м-цкая команда copy_extensions, которая имеет ровно два варианта - либо копировать вообще все подряд, либо копировать только то, что отсутствует в наших собственных.

В *обоих* случаях оно копирует _все_, любой мусор, который васян тебе подсунул в csr - в том числе, а не только altname. Поэтому правильно твой запрос звучит - "когда оно научится, блжад, копировать только то что явно указано и разрешено?!" (и что было в головах тех васянов, которые такой код наструячили)
А пока - успехов тебе валидировать что в подписуемом нет ничего неположенного - вручную.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от пох. (?), 17-Фев-21, 15:25   –1 +/
А если ты про то что ты не можешь _сгенерировать_ такой csr - так давно уже можно задавать extensions прямо в командной строке.

Только смысл в этом какой? Эту информацию вполне удобно держать именно в файле, учитывая какой у нее уродливый формат и что ее обычно довольно много. Файл при этом можно использовать отдельный от основного конфига - опять же возможность брать v3exts из отдельного файла давным-давно есть.

В чем проблема-то? Все равно эти данные надо где-то держать, и они специфичны для каждого отдельного csr.

Вот подписывать такое - действительно врагу не пожелаешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от nebularia (ok), 17-Фев-21, 15:47   –1 +/
Я про возможность подписать через x509 -req. Без написания файла конфига для ca, вот этого всего. Опции -copy_extensions в командной строке бы хватило, но... её нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16

16. Сообщение от пох. (?), 17-Фев-21, 16:16   –1 +/
в конфиге ca слишком много параметров, чтобы имело хоть малейший смысл тащить их все в командную строку.

copy_extensions=copy в нем - при этом позволяет не редактировать никакие конфиги ради подписания каждого индивидуального серта. Но ценой существенного усложнения валидации того что ты подписываешь (или увеличения риска подписать какую-нибудь лажу). А при сертификатах со сроком годности в пол-дня, как нынче нам навязали, это никуда не годится.

Поэтому большинство васянской автоматики работает через автосоздаваемый файлик. Зато в подписанном только то, что ты точно хотел чтобы туда попало - потому что это твой конфиг, а не автора csr. Оттуда, по факту, берется только ключ.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от пох. (?), 17-Фев-21, 16:54   –1 +/
> Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в
> libre...

А если найду?!
Хотя да, то что доступ к исходникам старательно сделан через полную задницу, безусловно делает их 100% надежными и васяноупорными.

То что никто и не чешется заводить отдельные cve на васян-форк, кроме совсем уж фееричных, не означает, что там этих проблем нет.

Но ты, конечно же, уже сравнил реализации X509_issuer_and_serial_hash чтобы делать далекоидущие выводы? Я вот практически уверен что обе они родом из ssleay 96го года.

А все реально существенные проблемы - найдутся в обоих списках. Ни одного васянский форк не избежал, поскольку не с этими руками и не этой квалификацией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18

18. Сообщение от Дон Ягон (ok), 17-Фев-21, 17:13   –1 +/
> А если найду?!

Найди, лично я спасибо скажу (хотя мне скорее по барабану).

> А все реально существенные проблемы - найдутся в обоих списках. Ни одного
> васянский форк не избежал, поскольку не с этими руками и не
> этой квалификацией.

Я уже как-то тебе здесь же на опеннете сравнительный список приводил, в сообщении выше - ещё одно сравнение.

А то, что libressl не лишён дыр в принципе - сорян, мы живём в реальном мире, где софт пишут люди, а не боги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #19

19. Сообщение от пох. (?), 17-Фев-21, 17:39   –1 +/
Ну раз даже тебе уже по барабану - мне еще больше по барабану.

Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить одну-единственную функцию не Б-г весть какая наука.

Но после нескольких показательных факапов и найденных мной лично грабель с заметанием крошек под ковер - мне просто перестало быть интересно, что там происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же ssl но без багов" сфейлилась с самого начала.

Нет смысла дальше тратить время на васянскую поделку. Тем более что они полезли в область, точно не предназначенную для васянов - и выбора у них нет из-за измененной лицензии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22

21. Сообщение от Аноним (21), 18-Фев-21, 04:04   +/
Что не так с Apache 2.0?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

22. Сообщение от Дон Ягон (ok), 18-Фев-21, 04:18   +/
> Ну раз даже тебе уже по барабану - мне еще больше по
> барабану.

Ты не поверишь: по барабану.
В отличие от тебя я не сомневаюсь, что раз у нас с тобой хватает ума сравнивать openssl и libressl, то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.
Так что хочешь - ищи, не хочешь - не ищи, от этого ничего не изменится, особенно для меня.

> Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить
> одну-единственную функцию не Б-г весть какая наука.

Эм.
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/#dirlist - lib{ssl,tls}
Но на самом деле тебе надо было написать в гугле libressl portable и перейти по первой ссылке.

> Но после нескольких показательных факапов и найденных мной лично грабель с заметанием
> крошек под ковер - мне просто перестало быть интересно, что там
> происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же
> ssl но без багов" сфейлилась с самого начала.

Угу, истинна данная тебе в ощущениях. Жаль, что кроме твоих ощущений - ничего. В то время, как есть, например, статистика уязвимостей.

> Нет смысла дальше тратить время на васянскую поделку. Тем более что они
> полезли в область, точно не предназначенную для васянов - и выбора
> у них нет из-за измененной лицензии.

Ага, раньше ты кричал, что они васяны потому что tls 1.3 "не осилили", а копипастить больше не могут. Интересно (не очень), к чему ты будешь при#####ться теперь?

И да, никто никого не заставляет тратить время на libressl. Его делают в первую очередь для openbsd, т.е. бОльшую часть людей это никак не касается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

23. Сообщение от пох. (?), 18-Фев-21, 13:03   +/
> то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.

читать - да. После того как их прочитают многие нехорошие васяны.

А исправлять - ну, тут возможны варианты.

Ок, с X509, похоже, они действительно успели вовремя:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/...

это исправление из тех времен, когда мне еще казалось что от этой деятельности есть толк.

> И да, никто никого не заставляет тратить время на libressl.

Я, собственно, и не трачу, и изумляюсь только что кто-то еще рискует ей пользоваться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от пох. (?), 18-Фев-21, 13:14   +/
Дурацкие требования к владельцам патентов.
Сделанные исключительно с целью ублажить гнусь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #25

25. Сообщение от Аноним (-), 18-Фев-21, 14:57   +/
Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно. Мувик не забудь выложить (если выживешь).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от Аноним (26), 18-Фев-21, 23:51   +/
CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.

OpenSSL 1.1.1 does not have SSLv2 support and therefore is not vulnerable to
this issue.


соотв оно не исправлялось.. исправдлено 2, найдено три, но одна в старой версии, которая в новой нихт арбайтн без исправления.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру