Соскучились по критичным обновлениям OpenSSL?
Не забудьте завтра пропатчиться.
https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html
of OpenSSL versions 1.0.2d and 1.0.1p.
These releases will be made available on 9th July. They will fix a
single security defect classified as «high» severity. This defect does
not affect the 1.0.0 or 0.9.8 releases.
UPD> Появилась информация об уязвимости
Довольно серьезно — атакующий может подделать сертификат клиента.
Комментарии (12)
xandr0s
09.07.2015 07:55+15Как будто в твиттер попал. Подробности есть?
gre Автор
09.07.2015 12:23+1Еще не выпустили.
А новость и есть твиттерная — openssl предупредило, что выпускает важное обновление, обычно на это стоит обращать внимание.
О том и предупреждение. Плохо, что не сказали во сколько они-таки сделают это.
P.S> Хотя бывают у них и не сильно критичные обновления.
entze
09.07.2015 14:06+1Для этого написано:
They will fix a single security defect classified as «high» severity.
gre Автор
09.07.2015 16:14+1Появилась информация об уязвимости
Довольно серьезно — атакующий может подделать сертификат клиента.
ValdikSS
09.07.2015 16:47ValdikSS
09.07.2015 17:36* Test for CVE-2015-1793 (Alternate Chains Certificate Forgery) * * Chain is as follows: * * rootCA (self-signed) * | * interCA * | * subinterCA subinterCA (self-signed) * | | * leaf ------------------ * | * bad * * rootCA, interCA, subinterCA, subinterCA (ss) all have CA=TRUE * leaf and bad have CA=FALSE * * subinterCA and subinterCA (ss) have the same subject name and keys * * interCA (but not rootCA) and subinterCA (ss) are in the trusted store * (roots.pem) * leaf and subinterCA are in the untrusted list (untrusted.pem) * bad is the certificate being verified (bad.pem) * * Versions vulnerable to CVE-2015-1793 will fail to detect that leaf has * CA=FALSE, and will therefore incorrectly verify bad
gre Автор
09.07.2015 19:44Стоит добавить, пожалуй.
Серьезно для тех, кто использует авторизацию клиентов по SSL-сертификату. VPN, Wifi, доступ на сайты(довольно редкий кейс).
Иными словами — фикс очень важный, если это используется у вас!
А если не используется — то неважно.
обычному честному вебмастеру не надо суетиться.ValdikSS
10.07.2015 10:25Уязвимости подвержены два самых последних релиза в обоих ветках. Даже в Fedora они еще не используются.
furtaev
Снова «небольшая» уязвимость а-ля heartbleed?
amarao
На два порядка меньше. Злоумышленник может заставить клиента поверить в валидность сертификата. Для начала надо подделать DNS, потом заставить пользователя туда зайти…
Серверным инсталляциям почти пофигу. Обновятся в спокойном режиме, без паники. Клиентскому оборудованию хуже, но это даже близко не приближается к heartbleed.