The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в библиотеке MatrixSSL

15.02.2019 10:32

В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.

  1. Главная ссылка к новости (https://seclists.org/oss-sec/2...)
  2. OpenNews: Представлена техника атаки для определения ключей ECDSA и DSA
  3. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  4. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  5. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  6. OpenNews: Критическая уязвимость в библиотеке Libssh
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: matrixssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (9) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, Аноняшка (?), 15:07, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > уязвимость,
    > SSL
    > в 2014 году
    > Intel
    > CVE-2014-1569
    > Mozilla
    > в 2014 году, Карл!
    > до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...
    > переполнению буфера при обработке специально оформленных сертификатов X.509

    ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe

    > лежащей в основе коммерческого продукта

    за что люди платят?) Свободные программы не хуже)

     
     
  • 2.8, Аноним (8), 02:51, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?
     
     
  • 3.10, Аноним (10), 05:41, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем бесплатно? Свободное != бесплатное.
     
     
  • 4.11, Аноним (11), 15:29, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обоснуйте свою точку зрения.
     
  • 3.13, Аноним (13), 22:16, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства
     

  • 1.4, Xasd5 (?), 15:48, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    кто вообще знает про существование этого matrxssl ?

    кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

     
     
  • 2.6, Аноним84701 (ok), 16:19, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > кто вообще знает про существование этого matrxssl ?
    > кто является клиентами?

    Оно как суслик -- вроде бы ни разу в жизни не видел, но …
    > Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixssl

    Говорят, intel, canon, d-link:
    http://forums.dlink.com/index.php?topic=73920.0
    > Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSL

    там лицензия дуальная, gpl-проприетарная, так что …

     
  • 2.9, h31 (ok), 02:59, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

    Лично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.

     
     
  • 3.12, Xasd (ok), 20:38, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > для встраиваемых устройств - слишком жирно

    надеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру