OpenSSL был уязвим на протяжении года после выхода официального исправления

image

Теги: уязвимост

Приложения, использующие библиотеки OpenSSL были подвержены опасности целый год после выхода исправления, которое должно было устранить уязвимость.

В сентябре 2006 года вышло исправление к уязвимости в функции SSL_get_shared_ciphers, которая позволяла злоумышленнику выполнить произвольный код на целевой системе. В отчете, опубликованном Moritz Jodeit 19 сентября 2007 года, говорится о том, что уязвимость была устранена не полностью. Ошибка завышения на единицу все еще существует в текущих версиях 0.9.7m и 0.9.8e и потенциально позволяет злоумышленнику вызвать переполнение буфера и выполнить произвольный код на системе.

Если приложение использует уязвимую функцию SSL_get_shared_ciphers, злоумышленник может использовать специальный перечень алгоритмов для эксплуатации уязвимости. Таким образом, в «группу риска» попадают Web сервера (с клиентской аутентификацией), почтовые (Exim) и VPN (OpenVPN) сервера.

Ранее SecurityLab сообщал об уязвимости в Apple QuickTime, которая также не была устранена в официальном исправлении и позволяла злоумышленнику посредством браузера Firefox выполнить произвольный код на целевой системе.


или введите имя

CAPTCHA
Страницы: 1  2  
1
29-09-2007 17:58:13
Как я понял, SSH в эту "группу риска" не вошел?
0 |
1
29-09-2007 18:38:44
SSH коммерческий продукт, не имеющий ничего общего с OpenSSL. Вообще это 2 разных класса программ
0 |
1
30-09-2007 00:33:34
openssh-server не использует эту уязыимую функцию, только что проверил. Но баг жестокий, ждем исправлений.
0 |
1
30-09-2007 02:55:39
Да-да, я имел ввиду именно openssh server, сорри
0 |
1
30-09-2007 13:01:23
openssh сервер использует разделение привилегий как раз на случай дыр в openssl (которые там видимо бесконечны), потому в группу риска он входит только краешком
0 |
1
29-09-2007 19:32:47
SSH коммерческий продукт, не имеющий ничего общего с OpenSSL. Вообще это 2 разных класса программ кто ж вам сказал что SSH комерческий продукт? В SSH как и в SSL существует две ветки: комерческая (обычный OpenSSH+полезные плагины), ну и свободная т.е. OpenSSH http://www.openssh.org/ http://www.ssh.com/
0 |
1
29-09-2007 22:02:29
Ну да. Вопрос был про SSH, а не про OpenSSH. SSH называется имеено коммерческая версия программы, а не бесплатная подделка.
0 |
1
29-09-2007 23:06:02
На этом примере хорошо видно, насколько безопасно свободное ПО. Уязвимости в Windows и то правят быстрее...
0 |
1
29-09-2007 23:43:57
> На этом примере хорошо видно, насколько безопасно свободное ПО. Уязвимости в Windows и то правят быстрее... Видимо ты ниасилил буквы. Уязвимость исправили, но, неэффективно и сейчас это обнаружилось.
0 |
1
30-09-2007 00:19:05
дыыы, логика у вас батенька потрясная! Уязвимость исправили, только не исправили, и ничего не замечали еще в течение года. - вот примерный смысл вашего бессмысленного поста. Действительно - как быстро устраняються ошибки с о-сц, все прям тестируют тестиииируют дебажат-дебаааажааат. Патчи(затычки, по выражению О-сц-сников)выходят-выхооодят. И в течение года в важнейшей библиотеке и патче к ней никто прежней дыры так и не увидел.
0 |
1
30-09-2007 01:04:59
> дыыы, логика у вас батенька потрясная! Уязвимость исправили, только не исправили, и ничего не замечали еще в течение года. - вот примерный смысл вашего бессмысленного поста. Да не, логика нормальная. Если ниасилил, то объясняю на пальцах. Нечего передергивать про оперативность исправления! Ошибку исправили сразу. А затем кто-то шибко умный нашел вектор атаки, позволяющий обойти фикс. Это, считай, новая уязвимость. > Действительно - как быстро устраняються ошибки с о-сц, все прям тестируют тестиииируют дебажат-дебаааажааат. "В сентябре 2006 года вышло исправление к уязвимости в функции SSL_get_shared_ciphers" > И в течение года в важнейшей библиотеке и патче к ней никто прежней дыры так и не увидел. Ну и что? Значит ошибка была неочевидной. Как видишь, открытость кода позволила обнаружить ошибку и исправить, а у виндузятников пока через зеродей в WMF или IE не начнут ломать или через встроенный WU-бэкдор сливать файлы - никто и не почешется. По 10 лет переполнения в стандартных функциях WinAPI, обусловленные 16-битными корнями торчат, о них знают и даже никто не собирается их устранять! А переполнение в SSL неопасное, в Linux переполнения давно уже неэксплуатабельны, потому что ASLR.
0 |
30-09-2007 03:29:23
Ошибку исправили сразу. А затем кто-то шибко умный нашел вектор атаки, позволяющий обойти фикс. Это, считай, новая уязвимость. Как это "новая уязвимость"??? Уязвимость как раз та же. Уязвимость проявляется не через вектор атаки, а из-за ошибки в коде. Если эту ошибку некорректно устранили, то она продолжает быть все той же ошибкой... А переполнение в SSL неопасное, в Linux переполнения давно уже неэксплуатабельны, потому что ASLR. Ну в таком случае патчи на свой линукс можете не ставить PS. ASLR есть не только в люнексах и, к сожалению, это не панацея
0 |
1
01-10-2007 02:57:08
> Как это "новая уязвимость"??? Уязвимость как раз та же. Была уязвимость класса классическое переполнение буфера стала off-by-one overflow, которое значительно сложнее эксплуатировать. > Если эту ошибку некорректно устранили, то она продолжает быть все той же ошибкой... Это другая ашипка! Она была внесена старым патчем http://security.freebsd.org/patches/SA-06:23/openssl.patch. Вот часть старого патча: --- crypto/openssl/ssl/ssl_lib.c   25 Feb 2005 05:38:37 -0000   1.1.1.12 +++ crypto/openssl/ssl/ssl_lib.c   27 Sep 2006 07:03:26 -0000 @@ -1167,7 +1167,7 @@       c=sk_SSL_CIPHER_value(sk,i);       for (cp=c->name; *cp; )          { [b]-         if (len-- == 0)[/b] +         if (len-- <= 0)             {             *p='\';             return(buf); а вот претензии Мориса: The old vulnerability got fixed at [1] by comparing 'len' against <= 0 instead of == 0 to detect the possible underflow of 'len'. Как видно, в оригинале до старого патча было == 0. Так что разработчики-оболтусы выпустив новую версию сработали по классической программистской схеме: "Вышла новая версия! Исправлено старые баги и добавлены новые." Конечно это не может считаться оправданием за внедрение технологии патчей на патчи. > Ну в таком случае патчи на свой линукс можете не ставить PS. ASLR есть не только в люнексах и, к сожалению, это не панацея К логопеду! Да, знаю, опенLSDшники сперли идею ASLR из линуксового патча PAX. )
0 |
1
30-09-2007 01:17:43
Кстати, а сколько лет закладке в WMF? А бэкдору в WinUpdate? И что, никто не замечал?
0 |
30-09-2007 23:45:00
а это не баг это фича!!!
0 |
1
30-09-2007 11:30:39
На этом примере хорошо видно, насколько безопасно свободное ПО. Уязвимости в Windows и то правят быстрее...Гы Помнится, уязвимость выпадения в осадок IE наблюдалась в версиях от 4.0 до 6.x. В том числеи на XP SP2. Пару лет назад только пофиксили. Выполнить мог кто угодно, включив небольшой текст в web-страницу. Падая, IE тянул за собой все свои окна. Правда, ходили слухи, что это не бага, а фича. Типа, разработчики тестировали выпадение в осадок и забыли выключить в релизе
0 |
1
01-10-2007 08:35:00
ты прикинь, в опенсорс ошибку столько исправляли, а сколько исправляют в закрытых ? наверно там еще хуже ?одним словом - венде капец !!!
0 |
1
29-09-2007 23:11:49
> SSH называется имеено коммерческая версия программы, а не бесплатная подделка. Ну это спорный вопрос что является поделкой - закрытый и никому не нужный SSH от ssh.com, или повсеместно используемый OpenSSH от Тео Раадт, что переводится с языка канадских аборигенов как "Тео, который построил OpenBSD". Надеюсь, слышали про такую систему?
0 |
1
30-09-2007 13:15:51
С языка канадских аборигенов это скорее переводится "Тео, который обматерит тебя за то, что не читаешь маны" Личные наблюдения
0 |
1
01-10-2007 08:48:48
Ну тов. anonymus, Вы меня просто удивляете, у Вас на любую предьяву есть ответ в стиле Винда говно, линух и весь open sourse рулит. Вам про уязвимость в OpenSSH, а вы в ответ про winUpdate или WMF. Вам самому-то не противно.
0 |
1
01-10-2007 19:30:15
> Ну тов. anonymus, Вы меня просто удивляете, у Вас на любую предьяву есть ответ в стиле Винда говно, линух и весь open sourse рулит. Это вам, товарищ Фанат, кажется. Я не оправдываю кривой патч на патч для OpenSSL. А виндовые косяки были упомянуты в связи с изречением: "На этом примере хорошо видно, насколько безопасно свободное ПО. Уязвимости в Windows и то правят быстрее...". Ceterum censeo Microsoft esse delendam
0 |
30-09-2007 00:55:37
Некоторые посты показывают, как нравится их авторам мысль о том, что в софте бывают дыры. И в опенсорце бывают, и в проприетарке. Стоит только вспомнить недавнюю новость о квиктайме или более старые, где описываются дыры, которые тянутся со времён так виндовсов 95х по ХР... (вроде тогда говорилось об обработке какого-то графич. формата). Всем известно, что человек склонен совершать ошибки, ошибки программирования - не исключение из аксиомы.
0 |
1
30-09-2007 04:54:34
В ие многие ошибки тянутся еще от mosaic, это такой браузер начала 90х..
0 |
1
30-09-2007 13:19:55
Просто уровень как писателей статей здесь так и коментаторов (у последних правда в основном отмазка - маленькие еще). Большая часть статей на этом сайте сводится (цитирую человека, который мне не простит если я его здесь назову) к: Критическая уязвимость в windows, позволяющая удаленному пользователю получить любые права в системе. Уязвимость существует из-за переполнения буфера в программе wasja.exe, написанной неизвестным автором, которую запускал автор данной статьи у себя на компьютере... Ну и коментарии соответственно в зависимости от возраста в пределах 10-15 лет -- "а вот в windows в отличие от linux" и "а вот в linux в отличие от windows"...
0 |
tmp
30-09-2007 00:59:40
ну я так понимаю с 0.9.8b можно не переживать? --------------- http://www.securityfocus.com/bid/25831/info -------------- Ubuntu Ubuntu Linux 7.04 sparc Ubuntu Ubuntu Linux 7.04 powerpc Ubuntu Ubuntu Linux 7.04 i386 Ubuntu Ubuntu Linux 7.04 amd64 Ubuntu Ubuntu Linux 6.10 sparc Ubuntu Ubuntu Linux 6.10 powerpc Ubuntu Ubuntu Linux 6.10 i386 Ubuntu Ubuntu Linux 6.10 amd64 Ubuntu Ubuntu Linux 6.06 LTS sparc Ubuntu Ubuntu Linux 6.06 LTS powerpc Ubuntu Ubuntu Linux 6.06 LTS i386 Ubuntu Ubuntu Linux 6.06 LTS amd64 OpenSSL Project OpenSSL 0.9.8 e OpenSSL Project OpenSSL 0.9.8 d OpenSSL Project OpenSSL 0.9.7 m OpenSSL Project OpenSSL 0.9.7 l ------------------------- Ну и на крайняк все лечится: http://cvs.openssl.org/chngview?cn=16587
0 |
1
30-09-2007 01:16:26
> Ну и на крайняк все лечится: http://cvs.openssl.org/chngview?cn=16587 Вот оно - преимущество открытого кода перед проприетарщиной! Вот он патч - бери и применяй, если очень нужно. А пользователям закрытого кода остается только одно - молиться и ждать официального обновленния... во вторник следующего месяца.
0 |
1
30-09-2007 07:17:48
А потом следующий патч на уже установленный патч, как это бывает у windus
0 |
01-10-2007 08:51:45
Школнег, а что такое windus?
0 |
1
30-09-2007 12:07:05
Пользователи закрытого кода точно так же могут создать и применить патч. Для исправления программы ее исходники не обязательны (и патч такой будет ставится мгновенно). Разумеется те, кто не изучил за свою жизнь ничего кроме С/C++ и пользуется только свободными программами этого делать не умеют.
0 |
1
30-09-2007 12:35:59
Ни один уважающий себя программист не станет патчить объектный код.
0 |
1
30-09-2007 14:12:36
ошибаешся... А переполнение в SSL неопасное, в Linux переполнения давно уже неэксплуатабельны, потому что ASLRASLR это костыль, а не защита от переполнения буфера
0 |
1
01-10-2007 00:40:00
> ASLR это костыль, а не защита от переполнения буфера Это еще одна стандартная бронированная дверь от гнусных взломщиков, за которой может стоять еще одна - SELinux.
0 |
1
30-09-2007 14:00:27
Пользователи закрытого кода точно так же могут создать и применить патч.Конечно, могут. Но не раньше, чем "вторник следующего месяца" Вот она, разница - в OSS патч доступен тогда, когда он готов, а в закрытом ПО - тогда, когда планируется дать доступ к паковану разных патчей. В первом случае у тебя есть выбор - либо ты есть мегахацкер и сам разбираешься, как его наложить, либо ждешь обновлений от поставщика дистрибутива (обычно 1-2 дня). Во втором случае вариант только один - ждать.
0 |
1
01-10-2007 00:53:55
Я асму бы выучил только за то, чтоб патчить чужие программы? Можно услышать Ваше "ничего кроме С/C++"? А потом посмеемся, сколько Вы всего не знаете.
0 |
1
01-10-2007 03:30:35
Што это комьюнити гуру ассемблера, реверсинга и патчинга чужих программ не помогают компании AOL фиксить незакрытую который месяц дырку http://www.securitylab.ru/news/303854.php? Ниасилили?! То-то же, теоретики млин.
0 |
1
01-10-2007 01:00:46
> Пользователи закрытого кода точно так же могут создать и применить патч. Теоретически можно, предварительно дизассемблировав исходники программы и распечатав миллионы ассемблерных инструкций на всей доступной бумаге, обоях и рулонах туалетной бумаге и заняться их раскуриванием на полгодика если ошибка посложнее чем просто переполнение, и по вирусной технологии затем прицеплять к бинарнику или библиотеке код патча. > Для исправления программы ее исходники не обязательны (и патч такой будет ставится мгновенно). Теоретически можно и зубы через задний проход лечить. =) Что-то не видно как работает комьюнити реверсинженеров, патчащих баги в бинарниках. > Разумеется те, кто не изучил за свою жизнь ничего кроме С/C++ и пользуется только свободными программами этого делать не умеют. Умеют, но не утруждают себя подобными длительными грязными извращениями, потому что есть исходные тексты. Извращения с грязными хаками это удел гуру реверсинжиниринга, знакомых с Ассемблером, патчащих чужие бинарники.
0 |
1
01-10-2007 12:02:20
Што это комьюнити гуру ассемблера, реверсинга и патчинга чужих программ не помогают компании AOL фиксить незакрытую который месяц дыркуhttp://www.securitylab.ru/news/303854.php? Ниасилили?! То-то же, теоретики млин.У компании AOL для этих целей есть свои программисты Умеют, но не утруждают себя подобными длительными грязными извращениями, потому что есть исходные тексты. Извращения с грязными хаками это удел гуру реверсинжиниринга, знакомых с Ассемблером, патчащих чужие бинарники.потвоему низкоуровневое системное программирование это "Извращения с грязными хаками"? cцyкo я все больше убеждаюсь, что линуксоиды - это тупиковая ветвь развития человечества
0 |
1
01-10-2007 19:42:00
> У компании AOL для этих целей есть свои программисты А у открытого проекта свои программисты, чужие программисты, пользователи присылающие патчи, вайтхеты, сторонние аудиторы решившие попиариться и найти уязвимость и coverity. Так что популярная OpenSource програма подвергается такой чистке, какую не могут позволить себе проприетарщики. > потвоему низкоуровневое системное программирование это "Извращения с грязными хаками"? Ты тупой чтоли? Вникай в контекст. "Пользователи закрытого кода точно так же могут создать и применить патч. Для исправления программы ее исходники не обязательны (и патч такой будет ставится мгновенно). Разумеется те, кто не изучил за свою жизнь ничего кроме С/C++ и пользуется только свободными программами этого делать не умеют." Да, дизассемблировать и править чужой бинарный код хакерским методом по крякерской или вирусной технологии - это трудомоемкое грязное извращение, котороре имеет мало общего с системным программированием. > cцyкo я все больше убеждаюсь, что линуксоиды - это тупиковая ветвь развития человечества А я все больше убеждаюсь, что виндузятники через одного не дружат с логикой или с головой или и то и другое одновременно.
0 |
1
01-10-2007 00:36:39
Кароче ) Хватит флеймить )
0 |
Страницы: 1  2