Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением DoS-уязвимости

07.11.2016 19:34

Разработчики проекта OpenBSD представили корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx.

Проблема проявляется не только в LibreSSL, но и в OpenSSL и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6, а в OpenSSL в сентябрьских выпусках 1.1.0b и 1.0.2j (на момент выхода этих версий об уязвимости не было известно).

Дополнительно можно отметить публикацию предупреждения о выходе 10 ноября обновления OpenSSL 1.1.0c, в котором будет устранена порция уязвимостей, одной из проблем присвоен высокий уровень опасности.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45442-libressl

Ключевые слова: libressl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, XXX (??), 23:45, 07/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В дырявом OpenSSL устранили проблему не дожидаясь, пока её уровень опасности поднимут до крайнего. Фиаско: в стабильных релизах и ответвлениях (LibreSSL) особенно стабильные баги.

2.2, Аноним (-), 23:56, 07/11/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Похоже пригорает, все они дырка.

3.17, Аноним (-), 22:20, 08/11/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Если у вас мегазы кода работающие с данными из сети - ну вы поняли. В этих либах полно легаси и костылей, уйма способов сделать соединение не безопасным "для совместимости" даже не поняв этого и просто дико переусложненные протоколы в количестве полудюжины опций. Как это может на зафэйлить? Нет, раст не поможет если надо релизовать полдюжины навороченных протоколов с дурными опциями на все случаи жизни. Фэйспалм случится даже если написать на питоне. А в случае брейнфака надежда только на то что хакеры сойдут с ума быстрее чем разрабочтики.

1.3, бедный буратино (ok), 01:54, 08/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
балин, опять всю систему компилять :(

2.4, Аноним (-), 02:16, 08/11/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ну не зря ж ты бедный буратино ;)

2.5, Аноним (-), 02:20, 08/11/2016 [^] [^^] [^^^] [ответить]

–1 +/–

> балин, опять всю систему компилять :(

DEFAULT_VERSIONS+=ssl=libressl-devel

# grep PORTVERSION /usr/ports/security/libressl-devel/Makefile
PORTVERSION= 2.5.0

3.7, бедный буратино (ok), 02:39, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
>> балин, опять всю систему компилять :( > DEFAULT_VERSIONS+=ssl=libressl-devel > # grep PORTVERSION /usr/ports/security/libressl-devel/Makefile > PORTVERSION= 2.5.0 и чё этот набор букв и цифр означает?

2.6, бедный буратино (ok), 02:39, 08/11/2016 [^] [^^] [^^^] [ответить]

–1 +/–

хотя нет, в собранном от 5 ноября это уже есть, собирать не надо:

errata 6.0:

015: RELIABILITY FIX: November 5, 2016 All architectures
Avoid continual processing of an unlimited number of TLS records.
A source code patch exists which remedies this problem.

1.8, Меломан1 (?), 10:41, 08/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем счастье. Прокачка трафика увеличится на 90% с полным шифрованием. Ура товарищи! http://http-ss.com/

2.9, Аноним (-), 11:10, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
И что, библиотеки шифрования в нём будут другие?

3.10, Andrey Mitrofanov (?), 11:34, 08/11/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> И что, библиотеки шифрования в нём будут другие? И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама

4.14, Куяврег (?), 14:45, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
> И центры сертификации!! куда же без них! в них самая безопасность и гнездицца!

2.11, Аноним (-), 12:06, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что это "не то"

3.19, Аноним (-), 22:28, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
> Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что > это "не то" Народ догадывается что проприетарный протокол с отчислениями и какими-то специальными программами - не торт? :)

2.12, Аноним (-), 12:26, 08/11/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол? И вообще, всё это очень походит на троллинг в стиле архиватора Бабушкина. Сочетание "SS" в названии немецкой компании только усиливает это подозрение.

2.13, Аноним (-), 12:33, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
Это жулики. Они хотят получать отчисления за использование, причём на уровне 1 доллара в месяц на каждой устройство (http://http-ss.com/Pre_Sales_Consumer.html). И никакой это не протокол, а типа совмещения VPN с кэширующим прокси. Требует установки отдельных программ на сервер и на компьютер клиента.

3.20, Led (ok), 00:09, 09/11/2016 [^] [^^] [^^^] [ответить]	+/–
> Это жулики. Об этом можно легко догадаться по тому, кто рекламирует их здесь.

2.18, Аноним (-), 22:23, 08/11/2016 [^] [^^] [^^^] [ответить]	+/–
> Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем > счастье. Прокачка трафика увеличится на 90% с полным шифрованием. > Ура товарищи! > http://http-ss.com/ Так, минуточку. А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто? Или ты заранее орешь "ура!" на всякий случай, как истинный комсомолец?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: