Comments 12
Снова «небольшая» уязвимость а-ля heartbleed?
На два порядка меньше. Злоумышленник может заставить клиента поверить в валидность сертификата. Для начала надо подделать DNS, потом заставить пользователя туда зайти…
Серверным инсталляциям почти пофигу. Обновятся в спокойном режиме, без паники. Клиентскому оборудованию хуже, но это даже близко не приближается к heartbleed.
Серверным инсталляциям почти пофигу. Обновятся в спокойном режиме, без паники. Клиентскому оборудованию хуже, но это даже близко не приближается к heartbleed.
Как будто в твиттер попал. Подробности есть?
Да все ок, бекдор только добавили.
Еще не выпустили.
А новость и есть твиттерная — openssl предупредило, что выпускает важное обновление, обычно на это стоит обращать внимание.
О том и предупреждение. Плохо, что не сказали во сколько они-таки сделают это.
P.S> Хотя бывают у них и не сильно критичные обновления.
А новость и есть твиттерная — openssl предупредило, что выпускает важное обновление, обычно на это стоит обращать внимание.
О том и предупреждение. Плохо, что не сказали во сколько они-таки сделают это.
P.S> Хотя бывают у них и не сильно критичные обновления.
Появилась информация об уязвимости
Довольно серьезно — атакующий может подделать сертификат клиента.
Довольно серьезно — атакующий может подделать сертификат клиента.
* Test for CVE-2015-1793 (Alternate Chains Certificate Forgery)
*
* Chain is as follows:
*
* rootCA (self-signed)
* |
* interCA
* |
* subinterCA subinterCA (self-signed)
* | |
* leaf ------------------
* |
* bad
*
* rootCA, interCA, subinterCA, subinterCA (ss) all have CA=TRUE
* leaf and bad have CA=FALSE
*
* subinterCA and subinterCA (ss) have the same subject name and keys
*
* interCA (but not rootCA) and subinterCA (ss) are in the trusted store
* (roots.pem)
* leaf and subinterCA are in the untrusted list (untrusted.pem)
* bad is the certificate being verified (bad.pem)
*
* Versions vulnerable to CVE-2015-1793 will fail to detect that leaf has
* CA=FALSE, and will therefore incorrectly verify badСтоит добавить, пожалуй.
Серьезно для тех, кто использует авторизацию клиентов по SSL-сертификату. VPN, Wifi, доступ на сайты(довольно редкий кейс).
Иными словами — фикс очень важный, если это используется у вас!
А если не используется — то неважно.
обычному честному вебмастеру не надо суетиться.
Серьезно для тех, кто использует авторизацию клиентов по SSL-сертификату. VPN, Wifi, доступ на сайты(довольно редкий кейс).
Иными словами — фикс очень важный, если это используется у вас!
А если не используется — то неважно.
обычному честному вебмастеру не надо суетиться.
Видимо «старая» Opera 12.18 выйдет теперь
Sign up to leave a comment.
Критичное обновление OpenSSL уже завтра