| |
В GnuTLS 3.2.12, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость (CVE-2014-0092). Проблема проявляется во всех выпусках GnuTLS и даёт возможность обойти процедуры верификации сертификатов X.509, в результате чего специально оформленный поддельный сертификат может быть воспринят как валидный. Проблема выявлена сотрудниками Red Hat в результате аудита кода GnuTLS.
Злоумышленник, имеющий контроль над транзитным оборудованием (например, имеющий доступ к маршрутизатору или кабелю), может организовать MITM-атаку (man-in-the-middle) и использовать незаверенный в удостоверяющем центре поддельный сертификат для получения контроля над транзитным TLS-соединением клиента. Также не исключается использование уязвимости в GnuTLS для распространения фиктивных обновлений пакетов c обходом системы проверки по цифровой подписи.
Всем пользователям, использующим приложения, вызывающие функции GnuTLS для организации аутентификации по сертификатам, следует срочно обновить GnuTLS. По предварительной оценке более 350 пакетов в Debian завязаны на GnuTLS, в том числе проблеме подвержены библиотеки libmailutils и cURL (libcurl3-gnutls), которые используются в почтовых приложениях и системах загрузки и обновления пакетов (apt-transport-https). Предпочтение GnuTLS вместо OpenSSL по лицензионным соображениям в Ubuntu и Debian также приводит к привязке к GnuTLS и других важных пакетов, таких как VPN-приложения.
Проблема возникла из-за ошибочного выполнения команды очистки ('goto cleanup') вместо перехода в секцию вывода ошибки ('goto fail'), что позволяет атакующему сформировать универсальный поддельный сертификат, который всегда будет проходить процедуру верификации. На момент написания новости, пакеты с устранением уязвимости уже анонсированы для Debian, RHEL, Fedora, CentOS, openSUSE, SLE, Ubuntu, FreeBSD.
Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использовании функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS.
|
|
- Главная ссылка к новости (http://arstechnica.com/security/2014/03/...)
- OpenNews: Обновление GnuTLS 3.1.21 и 3.2.11 с устранением уязвимости
- OpenNews: Лидеры проектов GnuTLS, grep и sed выходят из проекта GNU в знак несогласия с политикой Фонда СПО
- OpenNews: Вышел GnuTLS 2.8.0
- OpenNews: Критическая уязвимость в OpenSSL
| Тип: Интересно / Проблемы безопасности | Ключевые слова: gnutls, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
| +1 +/– | Может всё будем писать на ассемблере ... весь текст скрыт [ показать] | | | 3.51, anonymous, 14:50, 05/03/2014 [ ^] [ ответить] [ смотреть все] +/– 3.59, metallica, 15:17, 05/03/2014 [ ^] [ ответить] [ смотреть все] –5 +/–Вот jmp и есть плохо, наряду с всеми сравнительными jXX ... весь текст скрыт [ показать] |
6.108, Маленькая Серая Мышка, 20:45, 05/03/2014 [^] [ответить] [смотреть все] | +/– |
Инлайны не надо раставлять лет уже эдак 15 - любой приличный компилятор сам заинлайнит что можно.
А вот читать STL-ные сообщения об ошибках из-за этого совершенно невозможно.
| | | 4.90, arisu, 18:50, 05/03/2014 [ ^] [ ответить] [ смотреть все] +/–желаю тебе всю жизнь писать алгоритмы, где нужны циклы и условия, на языках, в к... весь текст скрыт [ показать] 2.7, Аноним, 12:29, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +5 +/– 5.82, Аноним, 18:00, 05/03/2014 [ ^] [ ответить] [ смотреть все] +3 +/–Долго и упорно думаешь и называешь метки m1, m2, m3, Из опыта программир... весь текст скрыт [ показать] 6.91, arisu, 18:52, 05/03/2014 [ ^] [ ответить] [ смотреть все] +2 +/–
> Долго и упорно думаешь... и называешь метки: m1, m2, m3,...
> (Из опыта программирования на ассеблере для x86)
нет, это из опыта быдлокодинга.
2.25, ананим, 13:16, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Угу Когда жабу продвигали Ну и вставляли зонд 8212 жабаплагин Со своей без... весь текст скрыт [ показать] [ показать ветку] 2.66, Маленькая Серая Мышка, 15:45, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Но ведь функции - еще хуже Для них нужен стек, привет его переполнениям и прочи... весь текст скрыт [ показать] [ показать ветку] |
3.128, тазовод, 14:54, 06/03/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
С таким подходом только из стартапа в стартап прыгать. Первые коммиты в репозитарий. Те, кто идут за вами, как бы помягче сказать, не считают вас гениальным. Те, кому читать, дорабатывать, править ваш код.
И да, лечу по фотографии, удалённо, дорого.
| | | 3.129, тазовод, 14:59, 06/03/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
> А если функций не использовать - стек не нужен, безопасность повысилась.
Сперва на ум приходит, что таких надо лечить. Долгая, скрупулёзная и тщательная многонедельная электрошоковая терапия электродами на гениталиях. Но потом понимаешь, что это лишнее. Ведь умника, накатавшего в мейн() десяток меток, и заявляющего, что это мол для безопасности в реальности никогда не встретишь - ну не проходят они даже скромного испытательного срока. Никак невозможно.
1.6, wavedocs, 12:23, 05/03/2014 [ответить] [смотреть все] +1 +/–
У меня так и не поднялась авторизация на с TLS, видать к лучшему
1.9, Аноним, 12:34, 05/03/2014 [ответить] [смотреть все] +2 +/–Всегда говорил что GnuTLS - жалкая подделка под OpenSSL, переписанная только что... весь текст скрыт [ показать]
1.13, Аноним, 12:40, 05/03/2014 [ответить] [смотреть все] +/–
2.60, 123, 15:18, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Я дофига Goto тяжко отлаживать и в крупных проектах очень матерям Хотя тот-же ... весь текст скрыт [ показать] [ показать ветку] |
3.93, arisu, 18:54, 05/03/2014 [^] [ответить] [смотреть все] | +3 +/– |
> Я дофига. Goto тяжко отлаживать и в крупных проектах очень матерям.
зачем же вы заставляете матерей отлаживать крупные проекты? наймите программистов уже.
| | | 2.65, Аноним, 15:43, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–нормальный программист легко обойдется без goto, на что не способен выросший на ... весь текст скрыт [ показать] [ показать ветку] 3.79, www2, 17:33, 05/03/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Сравните два варианта кода if error1 free ptr1 free ptr2 free_str... весь текст скрыт [ показать] 3.95, arisu, 18:55, 05/03/2014 [ ^] [ ответить] [ смотреть все] +1 +/–
> нормальный программист легко обойдется без goto, на что не способен выросший на
> васике
это мы видели, да. вон, выше даже пример приведен, как «нормальные программисты обходятся без goto при помощи копипасты». зато гордятся, что «без goto».
3.114, Ytch, 00:16, 06/03/2014 [ ^] [ ответить] [ смотреть все] +1 +/–
> нормальный программист легко обойдется без goto
Нормальный программист подумает головой и в каждом конкретном случае сможет принять аргументированное решение, когда целесообразно, а когда нет. В этом отличие от фанатиков, вырвавших фразу "goto - зло" из контекста и носящихся с ней как с аксиомой.
1.22, Маленькая Серая Мышка, 13:05, 05/03/2014 [ответить] [смотреть все] –1 +/–
А теперь сравним время на решение этой проблемы - в корне, раз уж доверие подорвано, а не конкретной ошибки.
Gentoo:
echo "-gnutls" >> /etc/portage/make.conf
emerge --changed-use --deep @world
Остальные дистрибутивы:
N лет ждать и надеяться что мейнтейнеры вычистят gnutls, может быть, когда-нибудь
2.27, karapuz2, 13:20, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –2 +/– 3.34, Аноним, 13:24, 05/03/2014 [ ^] [ ответить] [ смотреть все] +/–Это какая SSL TLS всю жизнь обеспечиваелся OpenSSL ем, поэтому GnuTLS никакой ф... весь текст скрыт [ показать] 10.131, pavlinux, 18:33, 06/03/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
Я ему говорю как в реальности, а оно мне тут гугло кописату вставляет.
Там 90% не работает, без gnutls.
8.96, arisu, 18:57, 05/03/2014 [ ^] [ ответить] [ смотреть все] +/–
> Поэтому некоторые пакеты и пересоберутся с --enable-openssl вместо gnutls.
особенно это поможет пакетам без поддержки OpenSSL.
|
10.106, arisu, 19:50, 05/03/2014 [^] [ответить] [смотреть все] | +/– |
> А есть такие кто только на гнутом тлс-е? Ну хотябы парочка?
эвон, выше в пример exim приводили — любимый MTA бебиановодов.
| | | 10.107, Аноним, 20:05, 05/03/2014 [ ^] [ ответить] [ смотреть все] +/–как минимум выше уже про exim сказали... весь текст скрыт [ показать] 3.64, rew, 15:43, 05/03/2014 [ ^] [ ответить] [ смотреть все] +1 +/–ORLY shutdown -P now shutdown illegal option -- P usage shutdown - -h... весь текст скрыт [ показать] 2.31, Наивный чукотский юноша, 13:23, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/– 2.44, Andrey Mitrofanov, 14:06, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/– На момент написания новости, пакеты с устранением уязвимости уже анонсированы... весь текст скрыт [ показать] [ показать ветку] 2.46, pavlinux, 14:12, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–Это конечно же, почтовый, корпоративный или HA сервер, с тысячами юзеров и тераб... весь текст скрыт [ показать] [ показать ветку] 2.87, Аноним, 18:24, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Зачем Новый ebuild с устранением уязвимости не заставит себя ждать И останется... весь текст скрыт [ показать] [ показать ветку] 2.112, Michael Shigorin, 22:03, 05/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –1 +/–
> А теперь сравним время на решение этой проблемы - в корне
...и дальше пример на конкретный апстрим, замечательно. Так и я могу сказать, что на локалхосте с сизифом об libgnutls26 прямщас были зацеплены e17 с connman, gnustep, qemu и vlc-plugin-gnutls -- мол, ничего страшного вообще (с учётом того, что последний уже и удалил)...
1.26, Аноним, 13:18, 05/03/2014 [ответить] [смотреть все] +/–А в чём проблема в повсеместном использованим функций strlen и strcat опеч... весь текст скрыт [ показать]
3.98, arisu, 18:59, 05/03/2014 [ ^] [ ответить] [ смотреть все] +2 +/–
> оттуда же
> В стандартах программирования GNU нет ни слова про написание безопасного кода.
потому что они писались программистами для программистов. а потом, к сожалению, пришли быдлокодеры, которым если явно не скажешь задницу после сортира вытирать/мыть, так они и не станут.
1.42, Аноним, 13:50, 05/03/2014 [ответить] [смотреть все] +/– tls-server в openvpn его использует Обновы не видно что-то ... весь текст скрыт [ показать]
1.50, pavlinux, 14:35, 05/03/2014 [ответить] [смотреть все] +1 +/–
Оно, не?! http://www.opennet.ru/openforum/vsluhforumID1/95435.html
1.53, Аноним, 14:58, 05/03/2014 [ответить] [смотреть все] +/–У меня d 233 j 224 vu ... весь текст скрыт [ показать]
1.55, Аноним, 15:05, 05/03/2014 [ответить] [смотреть все] +/–У Яблочников ведь такое же было, нет ... весь текст скрыт [ показать]
1.62, metallica, 15:20, 05/03/2014 [ответить] [смотреть все] –1 +/–
Вместо goto A используется goto B.
Мне одному мерещится умысел, а не баг?
1.83, Grisha76, 18:13, 05/03/2014 [ответить] [смотреть все] +/–
> Предпочтение GnuTLS вместо OpenSSL по лицензионным соображениям в Ubuntu и Debian также приводит к привязке к GnuTLS и других важных пакетов, таких как VPN-приложения и SSL-модули Nginx
Какой бред! Автор сам придумал? Nginx не умеет работать с GnuTLS и крепко завязан на функциональность OpenSSL.
1.105, iZEN, 19:49, 05/03/2014 [ответить] [смотреть все] +/–
% pkg info -x tls
gnutls-2.12.23_3
% pkg info -r gnutls-2.12.23_3
gnutls-2.12.23_3:
glib-networking-2.36.2
% pkg info -r glib-networking-2.36.2
glib-networking-2.36.2:
libsoup-2.40.3_2
libsoup-gnome-2.40.3_3
% pkg info -r libsoup-2.40.3_2
libsoup-2.40.3_2:
libsoup-gnome-2.40.3_3
gvfs-1.12.3_2
gedit-2.30.4_2
gstreamer-plugins-soup-0.10.31,3
libchamplain-0.8.1_3
libgdata-0.6.6_1
totem-pl-parser-2.32.3_2
eog-plugins-2.30.1_5
totem-2.32.0_2
xfce4-screenshooter-plugin-1.8.1_4
webkit-gtk2-1.8.3_3
yelp-2.30.2_7
midori-0.5.7
1.115, Пиу, 01:51, 06/03/2014 [ответить] [смотреть все] +/–
этим чудакам уже показали юнит-тестирование?
1.120, Аноним, 08:04, 06/03/2014 [ответить] [смотреть все] +/–Всмысле, опять все старые дистрибуитвы Linux на свалку Каждый месяц в мире Linu... весь текст скрыт [ показать]
2.125, Аноним, 10:34, 06/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/– |
3.127, metallica, 11:10, 06/03/2014 [^] [ответить] [смотреть все] [к модератору] | –2 +/– |
> Админ локалхоста? Тогда ставь, конечно, че уж.
Нет, господа, для задачек, как то хостинг фоток котят и подружек, линукс можете смело
использовать, а вот для чего поважней его всё равно никто не использует.
Что? Гуглы/фейсбуки? Вот там линуксы перепиленные вдоль и поперёк, и имеют много
различий с теми массовыми всеми любимыми бабуинианами.
На одном форуме читал откровения разраба из ЖЖ, который рассказывал как с стартовой
конфигурации ввиде debian+mysql+apache долгим и упорным допиливанием получали
пригодную конфигурацию.
| | |
Ваш комментарий
Read more |