Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей

25.03.2021 23:24

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k с устранением двух уязвимостей, которым присвоен высокий уровень опасности:

CVE-2021-3450 - возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.
Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра "purpose", который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).
CVE-2021-3449 - возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с разыменованием указателя NULL в реализации расширения signature_algorithms. Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).

Дополнение: LibreSSL проблемам не подвержен, так как связанный с ними код был добавлен после ответвления проекта. Уязвимость, устранённая в LibreSSL 3.2.5, специфична для LibreSSL и не проявляется в OpenSSL.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54833-openssl

Ключевые слова: openssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (39)

1.1, Аноним (1), 23:30, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]

+5 +/–

Спасибо за информацию, уже обновился.

>вызова краха сервера

Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.

2.2, Аноним (1), 23:32, 25/03/2021 [^] [^^] [^^^] [ответить]	+2 +/–
>не в фаворе ПОПАЛИ В ОПАЛУ вместе с редхатом

3.16, Аноним (-), 00:52, 26/03/2021 [^] [^^] [^^^] [ответить]

+1 +/–

>>не в фаворе
> ПОПАЛИ В ОПАЛУ вместе с редхатом

Тихо, сам с собою, правою рукою... Анонимус(1) пытался косить под нескольких, но двигун опеннета жестоко отклеил его ус.

4.17, Аноним (1), 01:13, 26/03/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Мимо. Я ж не ты. Просто дополнил.

2.7, Аноним (-), 23:50, 25/03/2021 [^] [^^] [^^^] [ответить]	–10 +/–
За себя пожалуйста извольте говорить, неуважаемый. Поразвелось самозванцев про фавор рассуждать.

2.9, White Crow (?), 23:57, 25/03/2021 [^] [^^] [^^^] [ответить]	+6 +/–
>Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. С этими дегенератами давно было всё ясно, но теперь да, порядочные люди будут их за версту обходить.

3.12, IRASoldier_registered (ok), 00:18, 26/03/2021 [^] [^^] [^^^] [ответить]	–10 +/–
Конечно, ведь важно не качество софта и операционки, тут же свободный софт, а значит важнее всего - отношение к Столлману!

4.13, White Crow (?), 00:38, 26/03/2021 [^] [^^] [^^^] [ответить]	+8 +/–
Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул?

5.14, Аноним (-), 00:44, 26/03/2021 [^] [^^] [^^^] [ответить]	–1 +/–
> Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул? Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.

6.18, White Crow (?), 01:15, 26/03/2021 [^] [^^] [^^^] [ответить]

+3 +/–

>Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.

Ты пьяный что ли?

Какие проприетарщики? Какая война с "GPLщиками"?

Да что ты, чёрт побери, такое несёшь?

7.26, Аноним (26), 09:22, 26/03/2021 [^] [^^] [^^^] [ответить]	–5 +/–
Вас, любителей "свобод" за километр видно.

6.33, suffix (ok), 13:32, 26/03/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Пожалуйста не надо упоминать свиней в негативном контексте !

4.21, kusb (?), 02:26, 26/03/2021 [^] [^^] [^^^] [ответить]	+/–
Ну во всех проектах подписавшихся против Столлмана возможны потениальные проблемы с безопасностью. Троян посадить я точно не хочу.

5.30, IRASoldier_registered (ok), 12:28, 26/03/2021 [^] [^^] [^^^] [ответить]	+/–
Обнови шапочку из фольги, эта порвалась.

6.31, kusb (?), 12:32, 26/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> Обнови шапочку из фольги, эта порвалась. Поздно, крыша уже едет.

4.22, псевдонимус (?), 04:10, 26/03/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Они и до этого отличались гнусностями, например подменой пакетов.

4.36, пох. (?), 16:10, 26/03/2021 [^] [^^] [^^^] [ответить]

+1 +/–

Ну слушай, откуда возьмется качество софта и операционки у борцунов за все хорошее и против всех плохих, список плохих уточните перед партсобранием?

Они вряд ли вообще умеют кодить. Вот, на xml, разьве что. А, нет, там же копипастер.

4.42, GG (ok), 23:04, 26/03/2021 [^] [^^] [^^^] [ответить]	+/–
Никакого качества в дебиане уже лет десять как не осталось

5.43, пох. (?), 23:23, 26/03/2021 [^] [^^] [^^^] [ответить]

+/–

> Никакого качества в дебиане уже лет десять как не осталось

ну если так считать - то и не было никогда до того. Был обычный gnu/linux с неописуемо уродливым пакетным менеджером и невероятно уродливым системным софтом поверх него.
На самом деле, в дебиллиане единственное что есть - это огромное, по меркам других дистрибутивов, количество майнтейнеров. И многие из них действительно чего-то стоят.

Напомните, кто сразу заткнул дырку в ведре с iscsi, а кто по сей день раздуплиться не может?
Да, там простая копипаста-то не прокатывала, надо было уметь кодить хоть немножко.

Ну и других локальных побед у дебиановских майнтейнеров есть (часть из них потом на халяву получает убунта). Одна беда - эти люди не входят в корытцеонные советы, они делом заняты.
А у корыта, как обычно, собрался бесполезный хлам, с единственным скиллом прыганья по сцене на презентациях и форумах и писания в CoC.md.

5.47, IRASoldier_registered (ok), 19:04, 27/03/2021 [^] [^^] [^^^] [ответить]	+/–
Да, конечно, вам же systemd чувствительные места прищемил.

2.24, Аноним (24), 08:55, 26/03/2021 [^] [^^] [^^^] [ответить]	+/–
> а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. А вы смотрели фильм "Матрица"?

1.3, пох. (?), 23:36, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

> Проблема проявляется только на серверах с поддержкой TLSv1.2

Это прекрасно, ящетаю.

Кто там верещал что 1.1 немодно и немолодежно? Нате, жрите.

2.4, Аноним (4), 23:40, 25/03/2021 [^] [^^] [^^^] [ответить]	+4 +/–
У нас тут TLSv1.3 как бы в ходу

3.6, пох. (?), 23:49, 25/03/2021 [^] [^^] [^^^] [ответить]	–7 +/–
А, у вас уже вообще сайт ничем, кроме еще недописанной версии хромонога не открывается? Ну ок, вам придется еще недельку подождать (в 1.3 нет renegotiation в принципе, макакеры не осилили - но они еще много чего неосилили, скоро найдется)

4.8, Аноним (8), 23:56, 25/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> (в 1.3 нет renegotiation в принципе, макакеры не осилили А это там вообще зачем? А, чтобы атакующим удобнее атаковать было...

5.10, пох. (?), 00:01, 26/03/2021 [^] [^^] [^^^] [ответить]

–3 +/–

Ну конечно же. Вообще все немодное-немолодежное - оно только для этого.

Вот модный и молодежный 1.3 - он швятой, швятой. Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном early-data), то еще чего похуже, но "это другое".

6.15, Аноним (-), 00:48, 26/03/2021 [^] [^^] [^^^] [ответить]

+4 +/–

> Ну конечно же. Вообще все немодное-немолодежное - оно только для этого.

С учетом списка атак на 1.1 и ко - как-то так. А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. И вот на цатый год ее существования кто-то наконец придумал как это можно поюзать. Только остальным что-то не понравилось.

> Вот модный и молодежный 1.3 - он швятой, швятой.

Ну, он лучше чем было до этого. Набитые шишки заставили включать мозги хоть немного.

> Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном
> early-data), то еще чего похуже, но "это другое".

И, конечно, ты не трепло и подгонишь пруфлинк?

7.28, пох. (?), 11:31, 26/03/2021 [^] [^^] [^^^] [ответить]

–3 +/–

> С учетом списка атак на 1.1 и ко - как-то так.

ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0
В варианте когда настройки хотя бы на одном конце сделаны не _специально_ (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать.

> А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем.

именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, зачем альтернативно-одаренными включенной.

Но виноват, безусловно, неправильный протокол.

> Ну, он лучше чем было до этого.

Ты, конечно не трепло...хотя конечно ты трепло.

А гуглить про early-data я предоставлю тебе. И вот это - не уязвимость ненужной реализации, а именно by design.

8.44, Аноним (-), 02:13, 27/03/2021 Скрыто ботом-модератором [к модератору]	+/–

9.45, пох. (?), 10:37, 27/03/2021 Скрыто ботом-модератором [к модератору]	+/–

3.19, Аноним (19), 01:20, 26/03/2021 [^] [^^] [^^^] [ответить]	+/–
Забавно, что OpenNet работает на TLS 1.2

4.46, пох. (?), 10:52, 27/03/2021 [^] [^^] [^^^] [ответить]

–1 +/–

> Забавно, что OpenNet работает на TLS 1.2

tls1.2 сам по себе к этой проблеме отношения не имеет. В openssl1.1.x понаулучшайкали большой кусок кода, и, вот, кто бы мог подумать, да и было ли ему - чем?!

2.5, Аноним (5), 23:45, 25/03/2021 [^] [^^] [^^^] [ответить]	–2 +/–
Доброе утро товарищ, 1.3 уже несколько лет назад ввели

3.20, Аноним (20), 01:20, 26/03/2021 [^] [^^] [^^^] [ответить]	+4 +/–
Кому и куда ввели ?

1.23, Аноним (23), 06:39, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Проблема внесена в появившейся в OpenSSL 1.1.1h Это проблемы только тех кто обновился.

2.25, Аноним (24), 08:58, 26/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> Это проблемы только тех кто обновился. Как будто в предыдущих версиях OpenSSL небыло CVE, ага... https://repology.org/project/openssl/cves

1.27, Аноним (27), 09:35, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Забавно как у кого-то цифра 3 в номере версий становится неактуальной и приходится переходить на 40, а тут БУКВА k не создаёт проблем.

2.34, пох. (?), 16:04, 26/03/2021 [^] [^^] [^^^] [ответить]

–2 +/–

В этом плане opensslщики немодны и немолодежны - двадцать лет у них вообще были версии 0.что-то (вполне адекватные качеству кода)

Но цифра перед буквой создаст тебе очень даже внятные проблемы, если ты сдуру поапгрейдишься на неправильную. Есть у нас такой интересный софт. И вот его писали - м-ки.

Точнее, портили. Написал-то нормальный разработчик, только, гад, денег хотел. Жрать дерьмо у корпораций на зарплате - не хотел. Тварь!

1.32, YetAnotherOnanym (ok), 13:03, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Первая доставила. Классное такое ужесточение проверки - у тебя серт негодный, я его проверять не буду, проходи так. А за вторую пусть Фрактал скажет.

2.35, пох. (?), 16:08, 26/03/2021 [^] [^^] [^^^] [ответить]

–2 +/–

Ты все неправильно понял - серт хороший, годный, правильная эллиптическая кривая, не кривая какая-то. А что мы его уже признали негодным потому что он подписан васяном - я уже забыла, стара стала, эклер этот... Проходи, проходи.

> А за вторую пусть Фрактал скажет.

Не отвлекай, он уже переписывает на совершенно безопастном от неинициализированных переменных языке. Уже написал CoC и readme.md

игнорирование участников | лог модерирования

Добавить комментарий

Текст: