Обновление OpenSSL 1.0.2k и 1.1.0d с устранением уязвимостей

26.01.2017 20:20

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2k и 1.1.0d, в которых устранены 4 уязвимости, трём из которых присвоен умеренный уровень опасности, а одной - низкий.

CVE-2017-3731 - позволяют инициировать крах серверного или клиентского SSL/TLS-приложения на 32-разрядных системах (чтение из области за пределами буфера) при приёме повреждённого пакета. В ветке OpenSSL 1.1.0 проблема проявляется при использовании алгоритмов CHACHA20/POLY1305, а в Openssl 1.0.2 - RC4-MD5;
CVE-2017-3730 - может привести к краху клиентского приложения (разыменование нулевого указателя) при передаче сервером некорректных параметров при обмене ключами по протоколам DHE или ECDHE;
CVE-2017-3732 - BN_mod_exp может вернуть некорректный результат на платформе x86_64, атака отнесена к категории труднореализуемых и маловероятных.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45927-openssl

Ключевые слова: openssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, ОлдФак (ok), 22:55, 26/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
В FreeBSD-HEAD уже внесена 1.0.2k

2.3, iZEN (ok), 00:15, 27/01/2017 [^] [^^] [^^^] [ответить]	–1 +/–
В 11-STABLE тоже внесли изменения.

3.5, Sw00p aka Jerom (?), 02:59, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
выпилить бы к чертя на*

3.10, Аноним (-), 14:04, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
Само обновило в Docker контейнере под линуксом.

3.11, Лукашенко (?), 14:06, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
> В 11-STABLE тоже внесли изменения. Дрочиш небось?

4.17, Аноним (-), 03:34, 28/01/2017 [^] [^^] [^^^] [ответить]	+/–
Школьник небось?

2.4, Аноним (-), 01:31, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
В STABLE 11 уже прилетело. Кстати, вместе с Author: emaste <emaste@FreeBSD.org> Date: Wed Jan 25 01:04:51 2017 +0000 Add WITH_REPRODUCIBLE_BUILD src.conf(5) knob

1.2, Michael Shigorin (ok), 23:03, 26/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
Это просто праздник какой-то... хорошо, что у нас 1.0.2 до сих пор хоть.

2.6, Аноним (-), 07:08, 27/01/2017 [^] [^^] [^^^] [ответить]	+2 +/–
хвастается тем что у вас дыры не исправляют ?

2.7, Anonimus (??), 10:07, 27/01/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Это все потому что вы много проводите времени на форумах, вместо пиления своего багтрекера. В каждой бочке затычка, Михалл, право же!

2.8, Старый (??), 12:23, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
Сказочный ... Как его только из больницы выпустили?

3.9, ппрошшш (?), 14:01, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
таких в кащенко сейчас долго не держат ведь миша обычный алкаш

4.18, Аноним (-), 03:36, 28/01/2017 [^] [^^] [^^^] [ответить]	+/–
а ты обычный дегенерат. и что с того? у всех есть недостатки.

2.12, Ilya Indigo (ok), 14:55, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
Понимаю, если бы у вас был LibreSSL, то есть не просто бы был одним пакетом, который не требуется никому, а все пакеты требующие OpenSSL требовали бы LibreSSL и успешно линковались с нем, тогда да, есть повод для гордыни и хвастовства. А так...

3.15, пох (?), 15:26, 27/01/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> Понимаю, если бы у вас был LibreSSL

зачем?
> то есть не просто бы был одним пакетом, который не требуется никому

ту, единственную, софтину для которой актуальна и сравнительно безопасна диверсификация - тебе никто не мешает пересобрать самому. Для всего остального решительно ничего хорошего в libressl нет.

> есть повод для гордыни и хвастовства. А так...

libressl и есть бессмысленный повод гордыни и хвастовства - ничего из заявленных целей авторы не добились, совместимость без дополнительных допилок сломали как со всем распространенным софтом, нахудожествовав в api, так и с удаленными сервисами, понаудаляв "ненужного" кода (который необходимо и достаточно было просто не использовать без нужды).
Проект так и не породил простой, понятной и обозримой ssl-библиотеки - по причине изначальной безнадежности этой затеи. С тех пор они занимаются бэкпортами уже исправленных в мэйнстриме проблем, ничего н

Тратить время разработчиков хоть альта хоть кого на допиливание всего дистрибутивного софта под кастрированный апи - нет ни малейшего смысла. Там где это дается мелкими и разумными правками - это и так делают авторы самого софта.

И да, баг с "should not be called" так и не дошел до сознания авторов. То есть где-то внутри все еще весьма вероятная дыра размером с железнодорожный вагон, отсутствующая в mainstream.

2.13, пох (?), 15:10, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
ну, кто запретил у себя weak algo - тем хорошо. Кто вынужден их использовать для совместимости чорти с чем - тем гораздо хуже, чем было бы с 1.1 до выпуска заплатки - потому что новомодные djb'шные протоколы в общем-то не особенно нужны, и запретить их до исправления (а лучше, как все ненужное, навсегда) можно почти в любом разумном месте.

2.14, Red Anus Flag Linux (?), 15:15, 27/01/2017 [^] [^^] [^^^] [ответить]	+/–
Федеральное шифрование небось с мастер ключом фсб?

3.16, пох (?), 16:25, 27/01/2017 [^] [^^] [^^^] [ответить]

+/–

> Федеральное шифрование небось с мастер ключом фсб?

а зачем тебе, шифруя _государственные_ секреты (ибо это единственное, где _требуют_ использования гостовского шифрования), что-то скрывать от ФСБ?

Добавить комментарий

Текст: