The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей"  +/
Сообщение от opennews (ok) on 29-Мрт-18, 07:31 
Доступны корректирующие выпуски криптографической библиотеки  OpenSSL (https://www.openssl.org/) 1.0.2o (https://www.mail-archive.com/openssl-announce@openssl.o...) и 1.1.0h (https://www.mail-archive.com/openssl-announce@openssl.o...), в которых устранены (https://www.mail-archive.com/openssl-announce@openssl.o...) три уязвимости, из которых одна отмечена как неопасная (CVE-2017-3738), а две (CVE-2018-0739, CVE-2018-0733) отнесены к категории проблем среднего уровня опасности.

-  CVE-2018-0739 - обработка рекурсивных структур в ASN.1 (например, применяются в PKCS7) может привести к переполнению стека и отказу в обслуживании при обработке определённым образом оформленных входных данных. Проблема не затрагивает  SSL/TLS;
-  CVE-2018-0733 - ошибка в реализации функции CRYPTO_memcmp для архитектуры  HP-UX PA-RISC приводит к участию в сравнении только одного старшего бита для каждого байта. Проблему можно использовать для формирования подставных сообщений, которые будут обрабатываться как аутентифицированные;
-  CVE-2017-3738 - переполнение в процедуре rsaz_1024_mul_avx2. Проблема проявляется только на системах x86_64 с поддержкой инструкций AVX2, но без расширений ADX (например, Intel Haswell).  Проблема не затрагивает алгоритмы на основе эллиптических кривых и  потенциально может применяться для атаки на DH1024, RSA и DSA, но очень трудна в эксплуатации и требует значительных ресурсов.

Дополнительно можно отметить уязвимость (http://openwall.com/lists/oss-security/2018/03/24/9) в  библиотеке WolfSSL (https://github.com/wolfSSL/wolfssl) (ранее CyaSSL), которая устранена (https://github.com/wolfSSL/wolfssl/pull/1231/commits/9f7e40a...) в версии 3.13.0.
Проблема вызвана переполнением буфера в коде разбора списка алгоритмов хэширования, передаваемом в пакете ClientHello, и может быть использована (https://github.com/hannob/wolfoverflow/blob/master/wolfoverflow) для вызова краха серверного процесса при указании более 32 алгоритмов хэширования.


URL: https://www.mail-archive.com/openssl-announce@openssl.o...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48343

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей"  +/
Сообщение от ryoken (ok) on 29-Мрт-18, 07:31 
...Почему такая важная в общем вещь в мини-новостях?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей"  +1 +/
Сообщение от Andrey Mitrofanov on 29-Мрт-18, 09:41 
> ...Почему такая важная в общем вещь в мини-новостях?

http://i.imgur.com/lc8Jihv.jpg

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 29-Мрт-18, 11:30 
> ...Почему такая важная в общем вещь в мини-новостях?

И что там важного? Минорное обновление с исправлением незначительных уязвимостей. Такие каждый месяц выходят.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру