OpenSSL: новая уязвимость: возможность выполнить MITM атаку (CVE-2014-0224)

[J_o_k_e_R]

Ну радует только то, что не все могут MITM. Но все равно задолбали.

[mayorovp]

Так ведь после прошлого события библиотеку взялись активно проверять.

[VBart]

И ещё много найдут, код там ужасен.

[SowingSadness]

Внезапно я был прав :)
habrahabr.ru/post/218609/#comment_7475841

[mayorovp]

Внезапно, это еще не так.

[master1312]

серьёзные уязвимости типа Heartbleed побудили разработчиков, исследователей и простых пользователей к повышенно внимательному изучению надежности этих продуктов.

Будем надеяться, что сейчас наковыряют уязвимостей по-максимуму и пофиксят, потом поспокойнее станет. Все-таки лучше знать, что уязвимость была, но исправлена, чем вообще о ней не знать.

[isden]

В убунте уже исправлено.
А вот в дебиане — толи я не смог найти правильный ченджлог, толи еще нет :(

[J_o_k_e_R]

Про дебиан дополнил в конфе поста.

[FireWind]

Спасибо, исправил по вашим инструкциям.

Может пригодиться — lля debian смотрим версии ssl:
dpkg-query -l | egrep 'openssl|sslib|libssl'

[vsabadazh]

На precise тоже прилетело обновление, LTS как-никак.

[crackedmind]

Вот если бы только это… полный список

[ximaera]

Ну этот список всё же в основном воспроизводится, что называется, в лабораторных условиях.

Хотя хотелось бы отметить пачку CVE в реализации DTLS. Ведь Heartbleed тоже имел к DTLS прямое отношение. Если у кого используется DTLS — лучше откажитесь от него, от греха подальше.

[ximaera]

Что интересно: одна из уязвимостей в реализации DTLS — за авторством всё того же Робина Зеггельманна, «отца» Heartbleed.

[ximaera]

Автор как-то уж больно спокойно относится к MITM-атаке. Короткий ответ на заданный им вопрос должен быть таким: да, необходимо волноваться и исправлять ASAP.

[J_o_k_e_R]

Полностью поддерживаю. Но я не посчитал нужным нести отсебятину. Хотя впишу как примечание.

[grossws]

В CentOS/RHEL 6.5 исправлено.

# rpm -q --changelog openssl | head -20
* Mon Jun 02 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.14
— fix CVE-2010-5298 — possible use of memory after free
— fix CVE-2014-0195 — buffer overflow via invalid DTLS fragment
— fix CVE-2014-0198 — possible NULL pointer dereference
— fix CVE-2014-0221 — DoS from invalid DTLS handshake packet
— fix CVE-2014-0224 — SSL/TLS MITM vulnerability
— fix CVE-2014-3470 — client-side DoS when using anonymous ECDH

[usefree]

Не могу найти для SUSE Linux Enterprise Server 11 пакета исправления… Ткните, пожалуйста, кто нашел? Стоит версия OpenSSL 0.9.8j-fips, после обновления не пришла OpenSSL 0.9.8za…

[EGDFree]

lists.opensuse.org/opensuse-security-announce/2014-06/msg00004.html

[timukas]

Идём сюда: tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl#ID
Жмём «Affected Products».

Теперь играем в игру — назовите какой-либо продукт Циски, которого нет в этом списке.

[EGDFree]

Для openSUSE
lists.opensuse.org/opensuse-security-announce/2014-06/msg00008.html

[Eklykti]

Фигасе решето.