[Криптография, Open source, Софт] В OpenSSL нашли две опасные уязвимости
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В программной библиотеке OpenSSL 25 марта обнаружили две особо опасные уязвимости. Это произошло с выпуском исправленной версии ПО OpenSSL 1.1.1k. 
Первая — обход проверки сертификатов (CVE-2021-3450) — возникла в результате реализации кода в v1.1.1h для выполнения дополнительной проверки достоверности сертификатов с использованием определенных криптографических параметров. Включение строгой проверки привело к тому, что она, наоборот, перестала работать. В затронутых приложениях установлен флаг проверки X509_V_FLAG_X509_STRICT, но не задана цель проверки сертификата. В некоторых случаях клиентские или серверные приложения TLS переопределяли цель по умолчанию. Об уязвимости сообщил 18 марта 2021 года Бенджамин Кадук из Akamai. Томаш Мраз, бывший главный инженер-программист Red Hat, выпустил патч. В настоящее время он является одним из основных разработчиков OpenSSL. Второй недостаток, разыменование нулевого указателя (CVE-2021-3449), может привести к сбою сервера OpenSSL с помощью злонамеренно созданного сообщения ClientHello. Серверы уязвимы, если у них есть TLSv1.2 и включено повторное согласование, хотя обычно эта функция выставлена по умолчанию. Оказались затронуты все предыдущие версии OpenSSL 1.1.1, поэтому тем, кто обновляет свое программное обеспечение, следует использовать OpenSSL 1.1.1k, который включает исправления. OpenSSL 1.0.2 не затронут. Debian и Ubuntu выпустили патчи. В феврале разработчики OpenSSL выпустили исправления для трех уязвимостей. Эксплуатация двух из них позволяла осуществлять атаки типа «отказ в обслуживании» (DoS). Третьей (CVE-2021-23841) была уязвимость разыменования нулевого указателя. OpenSSL широко используется для реализации протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL), которые поддерживают зашифрованные сетевые соединения. Альтернативы, среди прочего, включают BoringSSL и LibreSSL.
===========
Источник:
habr.com
===========
Похожие новости:
- [Криптография, Математика] Решение 340-символьного шифра Зодиака с помощью Mathematica (перевод)
- [Open source, GitHub, Законодательство в IT, Социальные сети и сообщества, Биографии гиков] Multiple violations of policies in RMS open letter
- [Open source, Программирование, Системное программирование, Компиляторы, Rust] Rust 1.51.0: const generics MVP, новый распознаватель функциональности Cargo (перевод)
- [Информационная безопасность, Криптография, Python, C++, ООП] Поддержка токенов PKCS#11 с ГОСТ-криптографией в Python. Часть II — Обёртка PyKCS11
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Софт] FreeBSD. Трансляции, тэги и якоря в PF
- [Open source, Программирование, Геоинформационные сервисы, Визуализация данных, Научно-популярное] Google Earth Engine (GEE) как общедоступный каталог больших геоданных
- [Браузеры, Разработка под Windows, Софт] Windows 10 при установке с диска иногда не устанавливает Edge
- [Open source] Нетехнические вызовы Open Source разработки
- [Open source, Учебный процесс в IT, Управление персоналом, Карьера в IT-индустрии] Ваша любовь к разработке в первую очередь выгодна работодателю (перевод)
- Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
Теги для поиска: #_kriptografija (Криптография), #_open_source, #_soft (Софт), #_openssl, #_kriptografija (криптография), #_kriptograficheskie_heshfunktsii (криптографические хеш-функции), #_biblioteki (библиотеки), #_ujazvimosti (уязвимости), #_kriptografija (
Криптография
), #_open_source, #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:25
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В программной библиотеке OpenSSL 25 марта обнаружили две особо опасные уязвимости. Это произошло с выпуском исправленной версии ПО OpenSSL 1.1.1k.  Первая — обход проверки сертификатов (CVE-2021-3450) — возникла в результате реализации кода в v1.1.1h для выполнения дополнительной проверки достоверности сертификатов с использованием определенных криптографических параметров. Включение строгой проверки привело к тому, что она, наоборот, перестала работать. В затронутых приложениях установлен флаг проверки X509_V_FLAG_X509_STRICT, но не задана цель проверки сертификата. В некоторых случаях клиентские или серверные приложения TLS переопределяли цель по умолчанию. Об уязвимости сообщил 18 марта 2021 года Бенджамин Кадук из Akamai. Томаш Мраз, бывший главный инженер-программист Red Hat, выпустил патч. В настоящее время он является одним из основных разработчиков OpenSSL. Второй недостаток, разыменование нулевого указателя (CVE-2021-3449), может привести к сбою сервера OpenSSL с помощью злонамеренно созданного сообщения ClientHello. Серверы уязвимы, если у них есть TLSv1.2 и включено повторное согласование, хотя обычно эта функция выставлена по умолчанию. Оказались затронуты все предыдущие версии OpenSSL 1.1.1, поэтому тем, кто обновляет свое программное обеспечение, следует использовать OpenSSL 1.1.1k, который включает исправления. OpenSSL 1.0.2 не затронут. Debian и Ubuntu выпустили патчи. В феврале разработчики OpenSSL выпустили исправления для трех уязвимостей. Эксплуатация двух из них позволяла осуществлять атаки типа «отказ в обслуживании» (DoS). Третьей (CVE-2021-23841) была уязвимость разыменования нулевого указателя. OpenSSL широко используется для реализации протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL), которые поддерживают зашифрованные сетевые соединения. Альтернативы, среди прочего, включают BoringSSL и LibreSSL. =========== Источник: habr.com =========== Похожие новости:
Криптография ), #_open_source, #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:25
Часовой пояс: UTC + 5