Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей"	+/–
Сообщение от opennews (??), 25-Мрт-21, 23:30
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54833
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+5 +/–
Сообщение от Аноним (1), 25-Мрт-21, 23:30
Спасибо за информацию, уже обновился. >вызова краха сервера Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+2 +/–
	Сообщение от Аноним (1), 25-Мрт-21, 23:32
	>не в фаворе ПОПАЛИ В ОПАЛУ вместе с редхатом
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
	Сообщение от Аноним (-), 26-Мрт-21, 00:52
	>>не в фаворе > ПОПАЛИ В ОПАЛУ вместе с редхатом Тихо, сам с собою, правою рукою... Анонимус(1) пытался косить под нескольких, но двигун опеннета жестоко отклеил его ус.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+2 +/–
	Сообщение от Аноним (1), 26-Мрт-21, 01:13
	Мимо. Я ж не ты. Просто дополнил.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–10 +/–
	Сообщение от Аноним (-), 25-Мрт-21, 23:50
	За себя пожалуйста извольте говорить, неуважаемый. Поразвелось самозванцев про фавор рассуждать.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	9. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+6 +/–
	Сообщение от White Crow (?), 25-Мрт-21, 23:57
	>Хорошая развлекуха, а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. С этими дегенератами давно было всё ясно, но теперь да, порядочные люди будут их за версту обходить.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	12. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–10 +/–
	Сообщение от IRASoldier_registered (ok), 26-Мрт-21, 00:18
	Конечно, ведь важно не качество софта и операционки, тут же свободный софт, а значит важнее всего - отношение к Столлману!
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+8 +/–
	Сообщение от White Crow (?), 26-Мрт-21, 00:38
	Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул?
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–1 +/–
	Сообщение от Аноним (-), 26-Мрт-21, 00:44
	> Тебя снова из дурки выпустили или недобросовесный медбрат мобилу вернул? Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+3 +/–
	Сообщение от White Crow (?), 26-Мрт-21, 01:15
	>Ох, проприетарщики такие свиньи что между собой рубятся даже в процессе войны с GPLщиками :). Так держать, потреб-душки. Ты пьяный что ли? Какие проприетарщики? Какая война с "GPLщиками"? Да что ты, чёрт побери, такое несёшь?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–5 +/–
	Сообщение от Аноним (26), 26-Мрт-21, 09:22
	Вас, любителей "свобод" за километр видно.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+3 +/–
	Сообщение от suffix (ok), 26-Мрт-21, 13:32
	Пожалуйста не надо упоминать свиней в негативном контексте !
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	21. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от kusb (?), 26-Мрт-21, 02:26
	Ну во всех проектах подписавшихся против Столлмана возможны потениальные проблемы с безопасностью. Троян посадить я точно не хочу.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	30. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от IRASoldier_registered (ok), 26-Мрт-21, 12:28
	Обнови шапочку из фольги, эта порвалась.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
	Сообщение от kusb (?), 26-Мрт-21, 12:32
	> Обнови шапочку из фольги, эта порвалась. Поздно, крыша уже едет.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–1 +/–
	Сообщение от псевдонимус (?), 26-Мрт-21, 04:10
	Они и до этого отличались гнусностями, например подменой пакетов.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	36. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
	Сообщение от пох. (?), 26-Мрт-21, 16:10
	Ну слушай, откуда возьмется качество софта и операционки у борцунов за все хорошее и против всех плохих, список плохих уточните перед партсобранием? Они вряд ли вообще умеют кодить. Вот, на xml, разьве что. А, нет, там же копипастер.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	42. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от GG (ok), 26-Мрт-21, 23:04
	Никакого качества в дебиане уже лет десять как не осталось
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	43. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от пох. (?), 26-Мрт-21, 23:23
	> Никакого качества в дебиане уже лет десять как не осталось ну если так считать - то и не было никогда до того. Был обычный gnu/linux с неописуемо уродливым пакетным менеджером и невероятно уродливым системным софтом поверх него. На самом деле, в дебиллиане единственное что есть - это огромное, по меркам других дистрибутивов, количество майнтейнеров. И многие из них действительно чего-то стоят. Напомните, кто сразу заткнул дырку в ведре с iscsi, а кто по сей день раздуплиться не может? Да, там простая копипаста-то не прокатывала, надо было уметь кодить хоть немножко. Ну и других локальных побед у дебиановских майнтейнеров есть (часть из них потом на халяву получает убунта). Одна беда - эти люди не входят в корытцеонные советы, они делом заняты. А у корыта, как обычно, собрался бесполезный хлам, с единственным скиллом прыганья по сцене на презентациях и форумах и писания в CoC.md.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от IRASoldier_registered (ok), 27-Мрт-21, 19:04
	Да, конечно, вам же systemd чувствительные места прищемил.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	24. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от Аноним (24), 26-Мрт-21, 08:55
	> а зачем ссылка на дебиан? Они нынче не в фаворе, а вы их тут рекламируете. А вы смотрели фильм "Матрица"?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+2 +/–
Сообщение от пох. (?), 25-Мрт-21, 23:36
> Проблема проявляется только на серверах с поддержкой TLSv1.2 Это прекрасно, ящетаю. Кто там верещал что 1.1 немодно и немолодежно? Нате, жрите.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+4 +/–
	Сообщение от Аноним (4), 25-Мрт-21, 23:40
	У нас тут TLSv1.3 как бы в ходу
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–7 +/–
	Сообщение от пох. (?), 25-Мрт-21, 23:49
	А, у вас уже вообще сайт ничем, кроме еще недописанной версии хромонога не открывается? Ну ок, вам придется еще недельку подождать (в 1.3 нет renegotiation в принципе, макакеры не осилили - но они еще много чего неосилили, скоро найдется)
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
	Сообщение от Аноним (8), 25-Мрт-21, 23:56
	> (в 1.3 нет renegotiation в принципе, макакеры не осилили А это там вообще зачем? А, чтобы атакующим удобнее атаковать было...
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–3 +/–
	Сообщение от пох. (?), 26-Мрт-21, 00:01
	Ну конечно же. Вообще все немодное-немолодежное - оно только для этого. Вот модный и молодежный 1.3 - он швятой, швятой. Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном early-data), то еще чего похуже, но "это другое".
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+4 +/–
	Сообщение от Аноним (-), 26-Мрт-21, 00:48
	> Ну конечно же. Вообще все немодное-немолодежное - оно только для этого. С учетом списка атак на 1.1 и ко - как-то так. А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. И вот на цатый год ее существования кто-то наконец придумал как это можно поюзать. Только остальным что-то не понравилось. > Вот модный и молодежный 1.3 - он швятой, швятой. Ну, он лучше чем было до этого. Набитые шишки заставили включать мозги хоть немного. > Там правда прямо в модных новых фичах by design то replay attack (в модном-молодежном > early-data), то еще чего похуже, но "это другое". И, конечно, ты не трепло и подгонишь пруфлинк?
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–3 +/–
	Сообщение от пох. (?), 26-Мрт-21, 11:31
	> С учетом списка атак на 1.1 и ко - как-то так. ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0 В варианте когда настройки хотя бы на одном конце сделаны не _специально_ (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать. > А уж heartbleed подтвердит на 2000%, лажа в фиче, которая вообще была неизвестно зачем. именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, зачем альтернативно-одаренными включенной. Но виноват, безусловно, неправильный протокол. > Ну, он лучше чем было до этого. Ты, конечно не трепло...хотя конечно ты трепло. А гуглить про early-data я предоставлю тебе. И вот это - не уязвимость ненужной реализации, а именно by design.
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+/–
	Сообщение от Аноним (-), 27-Мрт-21, 02:13
	> ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0 Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это? > В варианте когда настройки хотя бы на одном конце сделаны не _специально_ > (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать. Атакуется _канал_ и никому не интересно кто и почему дал маху. Успешная атака создает unexpected там где его быть не должно было, согласно "гарантиям" протокола. Кто именно из сторон оказывается в пролете - весьма зависит от конкретики что это было. А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет, трололо. Собссно бери и ssl-бампай готовенького. Остальные не сильно лучше. А в каком-нибудь 1.0 небось катит даже откровенный троллфэйс типа даунгрейда шифрования до какой-нибудь 40-битной дичи или суперсекурного MD5, который сейчас коллайдится вообще влет всеми желающими, после чего рассматривать его как защиту от чего-то - ну, э, лол. > именно. Не имеющей ни малейшего отношения к самому протоколу, и совершенно непонятно, > зачем альтернативно-одаренными включенной. Как не имеющий? Фича ж протокола, "на всякий случай". Вот и заимплементили. А случай, вот, подвернулся. Да еще какой. Так то да, зачем оно "в крейсерском режиме" надо именно там, кто его знает. А, они еще сжатие данных там делали. ЧСХ с этим all inclusive тоже всплыли криптопроблемы, видите ли неконтролируемое взаимодействие алгоритмов зачастую только все подставляет. > Но виноват, безусловно, неправильный протокол. Все начлось с него - в нем зачем-то придумали ту фичу. Хоть оно нафиг не упало для заявленой задачи. > Ты, конечно не трепло...хотя конечно ты трепло. Типа, лучший способ защиты - нападение? :) > А гуглить про early-data я предоставлю тебе. И вот это - не > уязвимость ненужной реализации, а именно by design. Дык про TLS вообще много чего нагуглить можно. И про 1.0 - выше крыши.
	Ответить | Правка | Наверх | Cообщить модератору

	45. Скрыто модератором	+/–
	Сообщение от пох. (?), 27-Мрт-21, 10:37
	> Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это? я как раз в курсе. Впопеннетовская белка-истеричка, разумеется, нет. Страшных слов начиталась, а понять как это могло работать и почему в реальности не работает никогда - не. Истерика мешает. > Атакуется _канал_ атакуется только твой горящий анал. Чтобы стать увизьгвимым к хоть одной реалистичной атаке - нужны _специальные_ _нетривиальные_ и _невозможные_ в твоем, истеричка, софте вообще нетиповые настройки. По двум концам одновременно, иначе не поможет. > А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет, > трололо. вероятно, авторы здраво оценивают реалистичность угроз. > А в каком-нибудь 1.0 небось катит не катит. Технически невозможно. Если только авторы софта и отдельно потом админ сервера и пользователь очень специально не заботились. С двух сторон разом. Потому что нельзя "сдаунгрейдить" на то, чего вообще нет. Вот тебе отчет ssllab по первому попавшемуся серверу: This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. ААААА!!!!...стоп, а что такое poodle? А это даунгрейд чего-то, что могло бы теоретически tls, но ему помогли свалиться на ssl3. Стоп, а откуда у тебя ssl3? У тебя его не то что нет нигде, ты его и включить-то не сможешь. (там отдельно можно разбираться в сортах истеричек, которым он и в ssl3 мешал так что они его бросились запрититиь-запритить, поскольку для успеха "атаки" надо уже сидеть в пыточной с проводами на яйцах, или очень близко к тому) Все остальные их истерики примерно такого же свойства - если бы, да кабы, желательно полностью контролируя оба конца (а не просто даже успешный mitm, что само-то по себе можно считать проблемой истеричек). И нет, с md5 используемым третьим-лишним после rsa-aes шифрования, никаких проблем нет. Кроме той мелкой, что его вообще нигде нет. Так что при всем желании не получится, даже в ssl3 не выйдет. Могло бы, может быть, что-то выйти с RC4, который белки-истерички позапритили-позапритили на случай активного mitm с квантовым компьютером под мышкой (то есть одни теоретические измышлизмы, ни одной реализуемой на коленке атаки на комплекс из трех составляющих - нет). Но его тоже нигде нет даже если ну очень захотеть чтоб был. > Как не имеющий? Фича ж протокола, "на всякий случай". с фичей все было в порядке - она, может быть, даже была бы кому-то полезна в каком-то специальном случае. Не в порядке была реализация в одной конкретной кривой программе (которую, напомню для истеричек, изначально вообще написал человек, которому вообще похрен было на вашу безопасТность). Ну завтра я тебе твой обожаемый 1.3 реализую на коленке, забыв в нем какой-нибудь debug внезапно содержимое твоего диска копирующий куданадо, не предусмотрев даже механизма отключения - это протокол виноват? > Все начлось с него - в нем зачем-то придумали ту фичу. Хоть оно нафиг не упало для заявленой > задачи. так можно сказать про любую фичу. Нет, оно было понятно для чего придумано. Непонятно зачем было включено, когда очевидно было какими руками реализуется и бесполезно для обычных васянов. Ну вот тебе дырка в tls 1.2 - свежайшая, там, наверное, все же DoS, а не rce, на одном нуле далеко не уехать, но тоже неплохо получилось, бери и роняй любой сервер. Протокол виноват? А чего тогда у меня ее нет? (А ее таки нет.) Сейчас по сравнению с временами heartbleed в протоколе _чудовищно_ выросло количество очень нужных и полезных гуглю, гуглю и опять гуглю фич, каждая из которых может содержать пару сюрпризов даже при _правильной_ реализации (большинство все же обычно отключены или отключаемы - но белки-истерички включают обратно - сисюрить жеж!). Что гуглить - я тебе уже назвал, для примера - но ты ж не будешь, ведь уже же не стал. А так хоть бы знал, какой там костыль куда подкладывать принято.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
	Сообщение от Аноним (19), 26-Мрт-21, 01:20
	Забавно, что OpenNet работает на TLS 1.2
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	46. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–1 +/–
	Сообщение от пох. (?), 27-Мрт-21, 10:52
	> Забавно, что OpenNet работает на TLS 1.2 tls1.2 сам по себе к этой проблеме отношения не имеет. В openssl1.1.x понаулучшайкали большой кусок кода, и, вот, кто бы мог подумать, да и было ли ему - чем?!
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–2 +/–
	Сообщение от Аноним (5), 25-Мрт-21, 23:45
	Доброе утро товарищ, 1.3 уже несколько лет назад ввели
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	20. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+4 +/–
	Сообщение от Аноним (20), 26-Мрт-21, 01:20
	Кому и куда ввели ?
	Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+/–
Сообщение от Аноним (23), 26-Мрт-21, 06:39
> Проблема внесена в появившейся в OpenSSL 1.1.1h Это проблемы только тех кто обновился.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
	Сообщение от Аноним (24), 26-Мрт-21, 08:58
	> Это проблемы только тех кто обновился. Как будто в предыдущих версиях OpenSSL небыло CVE, ага... https://repology.org/project/openssl/cves
	Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	+1 +/–
Сообщение от Аноним (27), 26-Мрт-21, 09:35
Забавно как у кого-то цифра 3 в номере версий становится неактуальной и приходится переходить на 40, а тут БУКВА k не создаёт проблем.
Ответить | Правка | Наверх | Cообщить модератору

	34. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–2 +/–
	Сообщение от пох. (?), 26-Мрт-21, 16:04
	В этом плане opensslщики немодны и немолодежны - двадцать лет у них вообще были версии 0.что-то (вполне адекватные качеству кода) Но цифра перед буквой создаст тебе очень даже внятные проблемы, если ты сдуру поапгрейдишься на неправильную. Есть у нас такой интересный софт. И вот его писали - м-ки. Точнее, портили. Написал-то нормальный разработчик, только, гад, денег хотел. Жрать дерьмо у корпораций на зарплате - не хотел. Тварь!
	Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–1 +/–
Сообщение от YetAnotherOnanym (ok), 26-Мрт-21, 13:03
Первая доставила. Классное такое ужесточение проверки - у тебя серт негодный, я его проверять не буду, проходи так. А за вторую пусть Фрактал скажет.
Ответить | Правка | Наверх | Cообщить модератору

	35. "Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимо..."	–2 +/–
	Сообщение от пох. (?), 26-Мрт-21, 16:08
	Ты все неправильно понял - серт хороший, годный, правильная эллиптическая кривая, не кривая какая-то. А что мы его уже признали негодным потому что он подписан васяном - я уже забыла, стара стала, эклер этот... Проходи, проходи. > А за вторую пусть Фрактал скажет. Не отвлекай, он уже переписывает на совершенно безопастном от неинициализированных переменных языке. Уже написал CoC и readme.md
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема