The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в lukemftpd и OpenSSL

08.01.2009 01:04

Во всех поддерживаемых релизах FreeBSD обнаружены две уязвимости:

  • FreeBSD-SA-09:01.lukemftpd (CVE-2008-4247) - аналогична FreeBSD-SA-08:12.ftpd; позволяет злоумышленнику организовать проведение CSRF (Cross Site Request Forgery) атаки, направленной на незаметное совершение авторизированным пользователем определенной FTP операции, будучи прозрачно перенаправленным на защищенный FTP ресурс.
  • FreeBSD-SA-09:02.openssl (CVE-2008-5077) - OpenSSL некорректно проверяет результат вызова функции EVP_VerifyFinal, что позволяет принять сформированную злоумышленником подпись как корректную. Уязвимости подвержена проверка подписи ключей DSA и ECDSA, используемые совместно с SSL/TLS.

    Уязвимости подвержена OpenSSL версии ниже 0.9.8j, функционирующая в роли клиента SSL/TLS при работе с сервером, чей сертификат содержит ключ DSA или ECDSA. Проблеме подвержены и другие операционные системы, использующие OpenSSL.

    Патчи: lukemftpd.patch, openssl.patch для 7.x, openssl.patch6 для 6.x.

    1. Главная ссылка к новости (http://security.freebsd.org...)
    2. OpenNews: Обнаружена возможность подделки SSL сертификатов. Уязвимости в TCP, DECT и DNS
    3. Red Hat update for openssl
    Автор новости: cvsup
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/19670-Openssl
    Ключевые слова: Openssl
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:36, 08/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >OpenSSL

    это касается всех никсов?

     
  • 1.2, local (??), 09:08, 08/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот только 7.1-RELEASE собрал, и на тебе :)
     
  • 1.5, atnt (?), 11:50, 08/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и что... freebsd-update fetch && freebsd-update install запустил, исправления накатились, ядро пересобрал и счастье.
     
     
  • 2.6, terminus (ok), 12:14, 08/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем пересобирать ядро, если freebsd-update fetch && freebsd-update install  скачивает и ставит в том чмсле и уже пропатченное GENERIC ядро? Или вы потом все равно свое из сырцов делаете? Тогда уже и про csup пишите, а то только путаете обсчественность :)
     
     
  • 3.7, local (??), 15:11, 08/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    дык через csup обновил и пересобрал нужное, только делать пришлось на шести машинах :) а лень то - вот она.
     
  • 3.16, atnt (?), 23:29, 03/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    (Знаю, что меня только что разморозили) Вы сами ответили на вопрос, freebsd-update ставит GENERIC ядро, не-GENERIC апдейтить не будет.
     

  • 1.9, iZEN (ok), 00:03, 09/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    usr ports UPDATING 20090107 AFFECTS users of security libgcrypt AUTHOR ... большой текст свёрнут, показать
     
     
  • 2.10, kegf (ok), 08:54, 09/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >Dependency: gettext-0.17_1
    >Dependency: libgpg-error-1.6_1
    >Required by:
    >..........
    >..........
    >Аааааааааааа! Всё ПО нужно пересобирать!!!!
    >
    >P.S.
    >Кстати, не сегодня — завтра такое же "повальное обновление" будет у всех
    >пользователей Linux.

    Читай лучше, нужно пересобрать только зависимости (depencies)


     

  • 1.11, www2 (??), 12:40, 09/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Где там у нас iZen постоянно злорадно тыкающий в Debian'щиков громким скандалом OpenSSL в Debian? Много времени потратил на обновление серверов?
     
     
  • 2.12, terminus (ok), 14:07, 09/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда был Debian спецыфичный баг из-за поломанного /dev/random, а теперь-то баг обший (то есть баг в OpenSSL).
     
     
  • 3.14, Аноним (1), 21:35, 10/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Тогда был Debian спецыфичный баг из-за поломанного /dev/random, а теперь-то баг обший
    >(то есть баг в OpenSSL).

    Я бы больше сказал. Баг был потому что мэйнтейнер пакета дурак. И гнать таких нужно поганной метлой.


     
     
  • 4.15, Andrey Mitrofanov (?), 21:42, 10/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я бы больше сказал. Баг был потому что мэйнтейнер пакета дурак. И
    >гнать таких нужно поганной метлой.

    Гони своих ментейнеров своей с...ой метёлкой (назови анОнимный дистрибутив, btw?). И сиди "как дура"(тм) без пакетов. Наших 8-P мантейнеров ни трож, испражняйся в сторонке -- приоритет своему дистр-ву.

     
  • 2.13, iZEN (ok), 23:02, 09/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Где там у нас iZen постоянно злорадно тыкающий в Debian'щиков громким скандалом
    >OpenSSL в Debian? Много времени потратил на обновление серверов?

    А что, на серверах уже невозможно обойтись без Gtk? :))
    На домашней машинке сделал:
    % portupgrade -rfp libgcrypt

    Всё (кроме ru-openoffice, с этим потом как-нибудь разберусь, да и так работает оно) ф фоне пересобралось из исходников за ~8 часов.
    Заодно получил каталог бинарных пакетов для быстрой установки ПО на другие машины.

    Ы?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру