Критичное обновление OpenSSL уже завтра


    Соскучились по критичным обновлениям OpenSSL?
    Не забудьте завтра пропатчиться.

    https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

    Оригинальное сообщение
    The OpenSSL project team would like to announce the forthcoming release
    of OpenSSL versions 1.0.2d and 1.0.1p.

    These releases will be made available on 9th July. They will fix a
    single security defect classified as «high» severity. This defect does
    not affect the 1.0.0 or 0.9.8 releases.


    UPD> Появилась информация об уязвимости
    Довольно серьезно — атакующий может подделать сертификат клиента.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 12

      0
      Снова «небольшая» уязвимость а-ля heartbleed?
        0
        На два порядка меньше. Злоумышленник может заставить клиента поверить в валидность сертификата. Для начала надо подделать DNS, потом заставить пользователя туда зайти…

        Серверным инсталляциям почти пофигу. Обновятся в спокойном режиме, без паники. Клиентскому оборудованию хуже, но это даже близко не приближается к heartbleed.
        +15
        Как будто в твиттер попал. Подробности есть?
          0
          Да все ок, бекдор только добавили.
            +1
            Еще не выпустили.
            А новость и есть твиттерная — openssl предупредило, что выпускает важное обновление, обычно на это стоит обращать внимание.
            О том и предупреждение. Плохо, что не сказали во сколько они-таки сделают это.

            P.S> Хотя бывают у них и не сильно критичные обновления.
              +1
              Для этого написано:
              They will fix a single security defect classified as «high» severity.
            +1
            Появилась информация об уязвимости
            Довольно серьезно — атакующий может подделать сертификат клиента.
                0
                * Test for CVE-2015-1793 (Alternate Chains Certificate Forgery)
                *
                * Chain is as follows:
                *
                * rootCA (self-signed)
                *   |
                * interCA
                *   |
                * subinterCA       subinterCA (self-signed)
                *   |                   |
                * leaf ------------------
                *   |
                * bad
                *
                * rootCA, interCA, subinterCA, subinterCA (ss) all have CA=TRUE
                * leaf and bad have CA=FALSE
                *
                * subinterCA and subinterCA (ss) have the same subject name and keys
                *
                * interCA (but not rootCA) and subinterCA (ss) are in the trusted store
                * (roots.pem)
                * leaf and subinterCA are in the untrusted list (untrusted.pem)
                * bad is the certificate being verified (bad.pem)
                *
                * Versions vulnerable to CVE-2015-1793 will fail to detect that leaf has
                * CA=FALSE, and will therefore incorrectly verify bad
                0
                Стоит добавить, пожалуй.
                Серьезно для тех, кто использует авторизацию клиентов по SSL-сертификату. VPN, Wifi, доступ на сайты(довольно редкий кейс).

                Иными словами — фикс очень важный, если это используется у вас!
                А если не используется — то неважно.

                обычному честному вебмастеру не надо суетиться.
                  0
                  Уязвимости подвержены два самых последних релиза в обоих ветках. Даже в Fedora они еще не используются.
                0
                Видимо «старая» Opera 12.18 выйдет теперь

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое