The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от opennews (??) on 08-Янв-12, 23:09 
Несколько недавно найденных уязвимостей:


-  В корректирующих выпусках библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8s и 1.0.0f (http://openssl.org) устранено 6 уязвимостей (http://openssl.org/news/secadv_20120104.txt), среди которых:


-  возможность реализации тайминг атаки (http://www.isg.rhul.ac.uk/~kp/dtls.pdf) по восстановлению части данных, зашифрованных  использованием CBC-режима шифрования DTLS (Datagram Transport Layer Security);
-  отсутствие корректной очистки буфера для блочного шифра SSL 3.0  может привести к передаче 15 байт неинициализированной памяти;
-   возможность совершения DoS-атаки через передачу специально оформленных данных в сертификате RFC 3779 (проявляется только при активации отключенной по умолчанию опции "enable-rfc3779");
-  DoS-атака через манипуляции с обновлением соединения Server Gated Cryptograpy (SGC);
-  инициирование краха процесса через отправку TLS-клиентом  специально оформленных параметров GOST;
-  двойное освобожд...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=32755

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от Аноним (??) on 08-Янв-12, 23:09 
Если в GNU telnetd нашли туже ошибку, что и в более старом BSD telnetd, то в GNU получается скопипастили код и втихую поменяли лицензию ? Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +3 +/
Сообщение от Аноним (??) on 08-Янв-12, 23:14 
Разобрался

Патч к BSD


--- contrib/telnet/libtelnet/encrypt.c    (revision 228798)
+++ contrib/telnet/libtelnet/encrypt.c    (working copy)
@@ -721,6 +721,9 @@
    int dir = kp->dir;
    int ret = 0;

+    if (len > MAXKEYLEN)
+        len = MAXKEYLEN;
+
    if (!(ep = (*kp->getcrypt)(*kp->modep))) {
        if (len == 0)
            return;

Патч к GNU

--- a/libtelnet/encrypt.c
+++ b/libtelnet/encrypt.c
@@ -796,6 +796,9 @@ encrypt_keyid (kp, keyid, len)
   int dir = kp->dir;
   register int ret = 0;

+  if (len > MAXKEYLEN)
+    len = MAXKEYLEN;
+
   if (!(ep = (*kp->getcrypt) (*kp->modep)))
     {
       if (len == 0)

Даже номера строк почти совпадают. Короче и там и там копипаст из heimdal, который  под лицензией MIT.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от Аноним (??) on 08-Янв-12, 23:50 
Код BSD можно даже закрыть и сделать пиппитиарное ПО на его основе. Чего уж говорить о GPL.

Вот наоборот, GPL->BSD, нельзя. Поэтому BSDшники часто страдают болезнью на религиозной почве. Называется она "перепиши GPL-программу под BSD".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  –1 +/
Сообщение от Аноним (??) on 09-Янв-12, 16:38 
закрыть без указания автора нельзя.
Сменить лицензию с BSD на  GPL тоже нельзя - можно в GPL проект вставить файлы с лицензией BSD.
и того - на лицо не знание матчасти.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."  +1 +/
Сообщение от arisu (ok) on 09-Янв-12, 22:10 
> закрыть без указания автора нельзя.

да? пруф. redistribution != derived work.

> Сменить лицензию с BSD на  GPL тоже нельзя

да? пруф. можно добавить после BSDL GPL — и опа! программа, фактически, становится GPL-ной.

«и того» — «на лицо» «не знание» как матчасти, так и русского языка.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."  +/
Сообщение от hizel (ok) on 20-Янв-12, 13:45 
>> закрыть без указания автора нельзя.
>да? пруф. redistribution != derived work.

первый пункт BSD license:

Redistributions of source code must retain the above copyright
   notice, this list of conditions and the following disclaimer

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU..."  +/
Сообщение от arisu (ok) on 20-Янв-12, 18:48 
> первый пункт BSD license:
> Redistributions of source code must retain the above copyright
>    notice, this list of conditions and the following disclaimer

и? а я не дам исходника, чо. и не скажу, что использовал. имею право.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

9. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от Аноним (??) on 09-Янв-12, 12:18 
> Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.

Хреново понимаете. Просто берется и добавляется. Лишь бы требования BSDL были выполнены. А их довольно немного и выполнить их просто.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  –4 +/
Сообщение от paulus (ok) on 08-Янв-12, 23:39 
что за "переполнение кучи в libxml", что за куча?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +3 +/
Сообщение от fyjybvec on 08-Янв-12, 23:47 
heap
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +1 +/
Сообщение от Аноним (??) on 09-Янв-12, 07:22 
http://ru.wikipedia.org/wiki/Куча_(нераспределённая_память)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  –2 +/
Сообщение от paulus (ok) on 08-Янв-12, 23:49 
Ради FFmpeg 0.9.1 решил подключить ppa:jon-severinsson/ffmpeg
а то в репозитории 0.7.3
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от Сергей (??) on 10-Янв-12, 15:48 
Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Уязвимости в OpenSSL, GnuTLS, Chrome, FFmpeg, GNU inetutils,..."  +/
Сообщение от Аноним (??) on 10-Янв-12, 23:32 
> Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/

Вроде как libav неудачный форк, который уже почти заброшен и невостребован.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру