URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 136003
[ Назад ]

Исходное сообщение
"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено opennews , 12-Фев-25 01:21

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.16, 3.1.8, 3.2.4, 3.3.3 и 3.4.1. В версиях 3.2.4, 3.3.3 и 3.4.1 устранена уязвимость (CVE-2024-12797), которой присвоен высокий уровень опасности. Уязвимость позволяет организовать MITM-атаку на соединения TLS и DTLS. Проблема проявляется только в системах, использующих для аутентификации клиентов открытые ключи RPK (Raw Public Key, RFC 7250). По умолчанию поддержка RPK отключена на стороне клиента и сервера...
Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62709

Содержание

Обновление OpenSSL 3.4.1 с устранением уязвимостей,Carantin, 01:21 , 12-Фев-25
- Обновление OpenSSL 3.4.1 с устранением уязвимостей,12yoexpert, 02:05 , 12-Фев-25
  - Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 08:13 , 12-Фев-25
    - Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 09:16 , 12-Фев-25
      - Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 16:36 , 12-Фев-25
    - Обновление OpenSSL 3.4.1 с устранением уязвимостей,freebzzZZZzzd, 11:09 , 12-Фев-25
    - Обновление OpenSSL 3.4.1 с устранением уязвимостей,12yoexpert, 02:27 , 14-Фев-25
  - Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 11:58 , 12-Фев-25
  - Обновление OpenSSL 3.4.1 с устранением уязвимостей,яблочкин, 02:18 , 14-Фев-25
Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 04:05 , 12-Фев-25
- Обновление OpenSSL 3.4.1 с устранением уязвимостей,Анонимище, 08:03 , 12-Фев-25
  - Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 08:27 , 12-Фев-25
Обновление OpenSSL 3.4.1 с устранением уязвимостей,Ivan_83, 10:33 , 12-Фев-25
Обновление OpenSSL 3.4.1 с устранением уязвимостей,Аноним, 00:40 , 13-Фев-25
Обновление OpenSSL 3.4.1 с устранением уязвимостей,Пользователь Чебурнета, 03:16 , 17-Фев-25

Сообщения в этом обсуждении

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Carantin , 12-Фев-25 01:21

Обычно к багу приводится пример эксплоита. А тут погляжу из-за трудности эксплуатации рабочего варианта и не придумали?

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено 12yoexpert , 12-Фев-25 02:05

как и с любой малварью под линукс: ещё ни один эксперт не рассказал, какие команды нужно вбить в консоль или куда кликнуть мышкой, чтобы запустить у себя какую-нибудь малварь
хотя ответ, казалось бы, прост: ставишь себе яндекс браузер (а.к.а. вивальди) и дело в шляпе

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 08:13

Так эти 4% домашних локалхостов не нужны, у вас воровать нечего

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 09:16

достаточно например испортить винт, чтобы вы пошли и купили новый

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 16:36

А автору нехорошего ПО от этого что? Не к нему же побегут за новым диском.

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено freebzzZZZzzd , 12-Фев-25 11:09

>Так эти 4% домашних локалхостов не нужны, у вас воровать нечего
биткоенты какие-нибудь намного ликвиднее, чем содержимое сервера с терабайтами ненужно-ненужностей

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено 12yoexpert , 14-Фев-25 02:27

> Так эти 4% домашних локалхостов не нужны, у вас воровать нечего
вот именно такого рода отмазки я каждый раз и слышу, а как заразить linux вирусом - эксперты сказать не могу

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 11:58

его ж можно как appimage
да в песочнице запустить )

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено яблочкин , 14-Фев-25 02:18

Вот пример: ставишь на ноуте убунту десктоп, потом подключаешь Ubuntu one, Ubuntu pro, обновляешься с зеркал белоруссии и перезагружаешься. Всё работает до следующей перезагрузки, а потом Ubuntu pro Деактивируеися, а на ноуте руткит. Конец.

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 04:05

Вкусноты не завезли в этот раз( Всегда приятно видеть "уязвимость" и "openssl" в одном предложении.

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Анонимище , 12-Фев-25 08:03

Халявы захотели? Наверняка за такого рода вкусноту в Даркнете криптой платят больше, чем можно выручить если вас всего на органы продать

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 12-Фев-25 08:27

Все проще какой-то майор становится подполковником.

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Ivan_83 , 12-Фев-25 10:33

Итого:
- "уязвимость" в специфичных сетапах
- "уязвимость" в специфичных сетапах
В общем то тайминг атаки это комплексная проблема ECDSA, тут или скорость или тайминг атаки. Притом скорость будет минимум раза в два ниже, если все оптимизации влияющие на тайминг выкинуть из мат функций.
Для сетевых сервисов проще сделать ответ по таймеру, чтобы не возможно было определить различия в корости вычислений.

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Аноним , 13-Фев-25 00:40

>Для успешного совершения атаки у атакующего должен быть доступ к локальной системе, на которой выполняется приложение, формирующее цифровые подписи
Единственно я не понял, кому непосредственно нужно давать доступ, что бы меня взломали.
Отзовитесь!

"Обновление OpenSSL 3.4.1 с устранением уязвимостей"
Отправлено Пользователь Чебурнета , 17-Фев-25 03:16

Спим спокойно.
Васян такое ни в жисть не осилит, а майору проще к "атакуемому" домой приехать с паяльником.