В GnuTLS 3.3.3, 3.2.15 и 3.1.25, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена опасная уязвимость (CVE-2014-3466). Проблема проявляется только при использовании библиотеки в клиентских системах при попытке установки защищённого соединения с сервером, подконтрольным злоумышленнику. Уязвимость вызвана отсутствием корректной проверки размера идентификатора сеанса в функциях read_server_hello() и _gnutls_read_server_hello(), которые используются для обработки сообщения ServerHello в процессе установки защищённого соединения. Отправка сервером пакета со слишком большим идентификатором может привести к повреждению областей памяти приложения. Не исключается возможность использования уязвимости для организации выполнения кода атакующего. Также можно отметить выпуск используемой в GnuTLS библиотеки Libtasn1 3.6, в котором устранены три уязвимости (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Уязвимости могут привести к краху приложения при обработке специально скомпонованных данных в формате ASN.1. Кроме того, компания Red Hat обратила внимание на уязвимость (CVE-2014-3465) в GnuTLS, которая может привести к разыменованию NULL-указателя и краху приложения при обработке x509-сертификата с некорректным OID-идентификатором. Проблема была устранена 4 месяца назад в выпусках GnuTLS 3.1.20 и 3.2.10 без публикации отчёта об уязвимости. Дополнение: опубликован анализ возможности эксплуатации уязвимости CVE-2014-3466 в GnuTLS, который показал реальность создания эксплоита для организации выполнения кода.

Главная ссылка к новости (http://openwall.com/lists/oss-security/2...) OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей OpenNews: Обновление GnuTLS 3.1.21 и 3.2.11 с устранением уязвимости OpenNews: Критическая уязвимость в GnuTLS, существенно влияющая на безопасность дистрибутивов Linux

Тип: Проблемы безопасности

Ключевые слова: gnutls, (найти похожие документы)

При перепечатке указание ссылки на opennet.ru обязательно

Реклама

id=adv>

1.1, Аноним, 22:55, 01/06/2014 [ответить] [смотреть все] –2 +/– нужно срочно менять весь штат погромиздов openssl и gnutls ... весь текст скрыт [показать]     2.2, Анонимный, 22:57, 01/06/2014 [^] [ответить] [смотреть все] [показать ветку]   –7 +/–     3.3, Аноним, 23:00, 01/06/2014 [^] [ответить] [смотреть все]   –8 +/–     4.25, Адекват, 08:49, 02/06/2014 [^] [ответить] [смотреть все]   +19 +/– > тоже верно Хуерно, все такие не купаться прям иксперты - программисты ssl/tls у них бдылокодеры, СИ понимаешь плохой, сами только на опеннете могут онанировать, зато совершенно точно сказали в чем порблема.     5.39, Аноним, 15:45, 02/06/2014 [^] [ответить] [смотреть все]   –3 +/– я ващет ядро разрабатываю ... весь текст скрыт [показать]     6.51, Sluggard, 20:47, 02/06/2014 [^] [ответить] [смотреть все]   +7 +/– Пушечное, видимо.

5.46, Аноним, 17:25, 02/06/2014 [^] [ответить] [смотреть все]  +/– 3.5, Inome, 23:40, 01/06/2014 [^] [ответить] [смотреть все]  +10 +/– Например такой как C# или Java, которые убивают процентов так 25 общей производительности программы ? Набыдлокодить можно на любом языке, главное уметь вовремя найти этот код и исправить его. Ваш аргумент не может быть причиной перехода с более-менее идеального языка на всякие там изделия оряклятины и мекрософта.
 

	4.6, Анонимный, 23:49, 01/06/2014 [^] [ответить] [смотреть все]	+/–
А 1000 знаков в минуту можете - Могу, но такая фигня получается ... весь текст скрыт [показать]

4.7, rob pike, 23:55, 01/06/2014 [^] [ответить] [смотреть все]  –4 +/– 

	5.13, Inome, 00:46, 02/06/2014 [^] [ответить] [смотреть все]	+2 +/–
Посмотрел синтаксис вашего OCaml и подумал пор себя Уж лучше тогда уже пожертво... весь текст скрыт [показать]

	6.15, rob pike, 01:23, 02/06/2014 [^] [ответить] [смотреть все]	–2 +/–
Это вы смотрели в стандартное OCaml - это такой лиспохаскель, сейчас мы вам рас... весь текст скрыт [показать]

	7.16, Inome, 01:56, 02/06/2014 [^] [ответить] [смотреть все]	+1 +/–
Я не смотрел примеры программ на этом языке, но тут с невооруженного взгляда вид... весь текст скрыт [показать]

	8.17, rob pike, 02:20, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Замечательная фраза Сразу вспоминается Пастернак У перла синтаксис Си-подобный... весь текст скрыт [показать]

	9.18, Inome, 02:32, 02/06/2014 [^] [ответить] [смотреть все]	+3 +/–
Вы случаем не забыли, как вообще выглядит синтаксис Си, может всё-таки посмотрит... весь текст скрыт [показать]

	10.19, rob pike, 02:51, 02/06/2014 [^] [ответить] [смотреть все]	–1 +/–
А вы не собираетесь начать различать смысл слов подобный и идентичный cita... весь текст скрыт [показать]

	11.20, Perl_Jam, 03:08, 02/06/2014 [^] [ответить] [смотреть все]	–1 +/–
господа, может вы перестанете если кто-то неумеет готовить си, ссзб, он и на бе... весь текст скрыт [показать]

	12.21, rob pike, 03:30, 02/06/2014 [^] [ответить] [смотреть все]	+2 +/–
Так практически никто и не умеет И, к сожалению, ЗБ он не только СС, а и пользо... весь текст скрыт [показать]

	13.22, rob pike, 03:31, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Оверквотингом было сочтено вот что ... весь текст скрыт [показать]

12.40, Inome, 16:01, 02/06/2014 [^] [ответить] [смотреть все]  +/– 

	13.44, rob pike, 16:54, 02/06/2014 [^] [ответить] [смотреть все]	–2 +/–
А мы различаем Поэтому употребили термин Си-подобный , а не какой-либо иной Е... весь текст скрыт [показать]

	14.47, Inome, 18:04, 02/06/2014 [^] [ответить] [смотреть все]	+2 +/–
Если бы различали, язык бы не повернулся назвать перл - Си подобным языком Я пр... весь текст скрыт [показать]

	15.49, rob pike, 18:39, 02/06/2014 [^] [ответить] [смотреть все]	–5 +/–
Я не называл перл Си-подобным языком Это могло бы вас смутить Я лишь напомнил ... весь текст скрыт [показать]

	16.57, Inome, 15:11, 03/06/2014 [^] [ответить] [смотреть все]	+1 +/–
Простите, но вы точно правильно воспринимаете мои посты Я вас попросил мне дат... весь текст скрыт [показать]

13.52, Elhana, 02:26, 03/06/2014 [^] [ответить] [смотреть все]  +1 +/– На си так тоже можно:
long long n,u,m,b;main(e,r)char **r;{f\
or(;n++||(e=getchar()|32)>=0;b="ynwtsflrabg"[n%=11]-e?b:b*8+
n)for(r=b%64-25;e<47&&b;b/=8)for(n=19;n;n["1+DIY/.K430x9\
G(kC["]-42&255^b||(m+=n>15?n:n>9?m%u*~-u:~(int)r?n+
!(int)r*16:n*16,b=0))u=1ll<<6177%n--*4;printf("%llx\n",m);}
 

	14.55, Llvmn, 11:33, 03/06/2014 [^] [ответить] [смотреть все]	+1 +/–
Все эти примеры можно разобрать на составные части простым форматером текста и потом уже можно будет их спокойно прочитать. Товарищ пытался от вас добиться такого-же синтаксиса как в перле, состоящий из одних символов

14.59, ytnbtnbtn, 19:11, 03/06/2014 [^] [ответить] [смотреть все]  +/– >На си так тоже можно:

or(;n++||(e=getchar()|32)>=0;b="ynwtsflrabg"[n%=11]-e?b:b*8+

Это все ерунда. Проблема в том что на ц можно

for(i<9; i=0; i++)

 

	15.61, Inome, 20:23, 03/06/2014 [^] [ответить] [смотреть все]	+/–
В Си можно всё!, но кое-что просто не нужно делать, например это :)

13.58, Аноним, 15:11, 03/06/2014 [^] [ответить] [смотреть все]  +/– 11.48, Аноним, 18:22, 02/06/2014 [^] [ответить] [смотреть все]  +2 +/– 

	12.50, rob pike, 18:40, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Спасибо, веселый тред. А пальцем можно показать где gcc вычеркивает вручную сделанные ассемблерные оптимизации?

		14.54, rob pike, 04:02, 03/06/2014 [^] [ответить] [смотреть все]	+/–
Это я и пытался товарищу объяснить. Но безуспешно, разумеется.

5.26, sorrymak, 08:50, 02/06/2014 [^] [ответить] [смотреть все]  +/–  

	6.45, rob pike, 16:55, 02/06/2014 [^] [ответить] [смотреть все]	–1 +/–
А он там вообще живой? Палочкой тыкали?

5.32, Аноним, 10:15, 02/06/2014 [^] [ответить] [смотреть все]  +/– 4.30, Аноним, 09:39, 02/06/2014 [^] [ответить] [смотреть все]  +2 +/– 

	5.56, burjui, 14:29, 03/06/2014 [^] [ответить] [смотреть все]	+/–
В случает Java пруфом является наличие VM. 25% там или нет, но невозможно заставить код в VM работать на той же скорости, что и идентичный по функциональности нативный код.

4.35, Mr. Cake, 11:25, 02/06/2014 [^] [ответить] [смотреть все]  –1 +/– На самом деле C#, Java и вообще любой язык с промежуточным представлением и JIT-компилятором можно весьма ощутимо ускорить, если выкинуть жрущие те самые проценты производительности переходы в ядро (а это не только стек, но и состояние MMU, что _дорого_) и обратно на каждом syscall-е и переключении контекста потока. Ведь если есть изоляция на уровне "виртуальной машины" ничего не мешает эту "виртуальную машину" держать в пространстве ядра. Были даже какие-то экспериментальные ОС (в основном на шарпе, он, как ни странно, несколько лучше подходит для системного программирования за счёт того что стековые структуры и указатели там таки есть) реализующие эту идею.
 3.9, Инкот, 23:57, 01/06/2014 [^] [ответить] [смотреть все]  +/– 

	4.11, rob pike, 00:15, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Тогда уж на Coq или Agda, если о заведомой фантастике Или на Charity, чтоб уж с... весь текст скрыт [показать]

	5.33, Аноним, 10:45, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Как бездарно ты разбазариваешь свою эрудицию ... весь текст скрыт [показать]

	6.38, rob pike, 13:41, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Хотите записаться на платную консультацию? Скажите прямо, кого нам стесняться.

4.14, Inome, 00:48, 02/06/2014 [^] [ответить] [смотреть все]  +2 +/– 

	5.27, sorrymak, 08:52, 02/06/2014 [^] [ответить] [смотреть все]	–6 +/–

3.10, Аноним, 00:01, 02/06/2014 [^] [ответить] [смотреть все]  +/– 

	4.12, lucentcode, 00:26, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Все люди склонны ошибаться И никакое тестирование, а так-же различные методы ан... весь текст скрыт [показать]

	5.23, Аноним, 03:35, 02/06/2014 [^] [ответить] [смотреть все]	+2 +/–
Если ставить практическую задачу научиться строить безопасные системы на Си, то ... весь текст скрыт [показать]

3.28, еще 1 аноним, 09:06, 02/06/2014 [^] [ответить] [смотреть все]  +/– 2.8, rob pike, 23:57, 01/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +/– 

	3.29, Andrey Mitrofanov, 09:23, 02/06/2014 [^] [ответить] [смотреть все]	+1 +/–
> Так уже озаботились. Там не _меняют. Там платят тем, что есть и _добавляют новых. Чтоб поменяли, надо Майкрософту ещё больше денег дать (намёк Анониму#1), а уж они тогда...

	4.34, rob pike, 11:24, 02/06/2014 [^] [ответить] [смотреть все]	+/–
Ну нельзя ж так сразу людей выгонять. Сначала аудит, а потом уж оргвыводы, по результатам аудита.

	5.36, Andrey Mitrofanov, 12:54, 02/06/2014 [^] [ответить] [смотреть все]	+/–
> Ну нельзя ж так сразу людей выгонять. > Сначала аудит, а потом уж оргвыводы, по результатам аудита. Выгонять нельзя. Только не потому, почему ты думаешь. Они там все - добровольцы, во-первых. А во-вторых, число этих добровольцев и так ограничено, чтобы их гнать. Может быть, кроме тех друх несчастных, которым МС подрядилась платить. И не добровольцы, и погонит их МС в любой момент, и набрать по объявлению -- без ограничения. И спасибо МС за наш счастливый опен-эс-эс-элинг.

	6.37, rob pike, 13:40, 02/06/2014 [^] [ответить] [смотреть все]	–3 +/–
Ну так по-добровольчески попробовали уже - известно что получилось Теперь посмо... весь текст скрыт [показать]