> Весь Tor можно выкидывать на свалку истории
2009. Нет? Сколько там билдов было после этого? В 2009 был bundle.
История Silk Road О том же > Опять какие-то аццкие уязвимости в OpenSSL
--------------------------------------------------------------------------------------------------------------------
Не могу понять что они там написали в securitylab:
Уязвимые версии: OpenSSL версии до 1.0.1t и 1.0.2h и
Решение: Установите последнюю версию 1.0.1t или 1.0.2h с сайта производителя. Рекомендуют поставить "больные" версии??? [more=Машинный перевод оригинала]
OpenSSL безопасности Консультативный [3 мая 2016]
========================================
Повреждение памяти в кодере ASN.1 (CVE-2016-2108)
================================================== ====
Серьезность: Высокая
Эта проблема влияет версии OpenSSL до апреля 2015 года об ошибке
в результате чего уязвимость была зафиксирована 18 апреля 2015 года, и выпустили
в рамках обновлениям безопасности 11 июня 2015 года. Воздействие безопасности
жука не было известно в то время.
В предыдущих версиях OpenSSL, ASN.1, кодирующий нулевое значение
представляется в виде отрицательное число может привести к незаполнению буфера
с недоступный пишут в i2c_ASN1_INTEGER. ASN.1 парсер
как правило, не создают "негативные" нули при разборе входных данных ASN.1, и
Таким образом, злоумышленник не может вызвать эту ошибку.
Тем не менее, во-вторых, независимая ошибка показал, что ASN.1 парсер
(В частности, d2i_ASN1_TYPE) может извратить большой универсальный тег
в качестве отрицательного нулевого значения. Большие универсальные метки нет ни в одном
общая ASN.1 структуры (такие как X509), но принимаются как часть любого
структур.
Поэтому, если приложение десериализует ненадежных ASN.1 структур
содержащий любое поле, а затем reserializes их, злоумышленник может
быть в состоянии вызвать вне границ записи. Это было показано,
вызвать повреждение памяти, которое потенциально годный для использования с некоторыми
таНос реализации.
Приложения, анализирующие и сертификаты перекодировать X509, как известно,
быть уязвимыми. Приложения, которые проверяют подписи RSA на X509
сертификаты могут также быть уязвимы; Однако, только сертификаты с
действительных подписей вызывают ASN.1 перекодирование и, следовательно,
ошибка. В частности, так как по умолчанию TLS X509 цепи проверки OpenSSL,
код проверяет цепочку сертификатов от корней до листьев, TLS рукопожатий
могут быть направлены только с действительными сертификатами, выданными доверенным
Сертификационных органов.
OpenSSL 1.0.2 пользователи должны обновить до 1.0.2c
OpenSSL 1.0.1 пользователи должны обновить 1.0.1o
Эта уязвимость представляет собой сочетание двух ошибок, ни один из которых
по отдельности имеет влияние безопасности. Первая ошибка (неправильное обращение из
отрицательные целые числа от нуля) было сообщено OpenSSL по Huzaifa Sidhpurwala
(Red Hat) и независимо друг от друга Ханно Böck в апреле 2015 года второй
выпуск (неправильное обращение больших универсальных тегов) было найдено с помощью libFuzzer,
и сообщил о публичной эмиссии трекера на 1 марта 2016 г. Тот факт,
что эти два вопроса в сочетании присутствует уязвимость системы безопасности была
сообщил Дэвид Вениамина (Google) 31-го марта 2016 года Исправления были
разработанный Стивом Henson команды разработчиков OpenSSL и Давида
Бенджамин. Команда OpenSSL хотел бы также поблагодарить Марка и Марка
Ян Пиво из команды Google Project Zero для их тщательного анализа
воздействия.
Исправление для "отрицательный ноль" коррупции памяти ошибка может быть
которые были определены фиксаций
3661bb4e7934668bd99ca777ea8b30eedfafa871 (1.0.2)
а также
32d3b0f52f77ce86d53f38685336668d47c5bdfe (1.0.1)
[/more]
---------------------------------------------------------------------------------------------------------------------
О чем и речь. Кто там что пишет и с какими дырами/закладками.
не нужно торопиться обновлять библиотеки.
OpenVPN - library versions: OpenSSL 1.0.1e 11 Feb 2013
Changes in version 0.2.8.2-alpha - 2016-03-28
New system requirements:
- Tor no longer supports versions of OpenSSL with a broken implementation of counter mode. (This bug was present in OpenSSL 1.0.0, and was fixed in OpenSSL 1.0.0a.) Tor still detects, but no longer runs with, these versions.
Tor Browser 5.5.3 (текущая - 5.5.5):
- обновлен OpenSSL до версии 1.0.1s
=========================
Заодно нужно задуматься о такой простой вещи: А кто клепает процессоры и железо? Там то все нормально?
Чего ведьм гонять..
Все уверены в своих пк/девайсах? Как они сертифицируются и кем на территории России?
