Címlap

Kritikus GnuTLS bugot javítottak - "rosszabb mint az Apple goto fail-ja"

 ( trey | 2014. március 5., szerda - 9:22 )

A GnuTLS fejlesztők egy szűkszavú biztonsági figyelmeztetőt adtak ki a minap. Benne az szerepel, hogy a Red Hat-nek végzett kódaudit során biztonsági problémát találtak a GnuTLS-ben. A sebezhetőség - amely az összes GnuTLS verziót érinti és amely úgy fest, hogy 2005 óta jelen van - a tanúsítvány-ellenőrzési funkciót érinti. Egy megfelelően összeállított tanúsítvány képes lehet áthágni a tanúsítvány-érvényesítést végző ellenőrző funkciókat.

A Red Hat figyelmeztetője itt olvasható. Az Ars Technica cikke a "goto fail" "távoli rokonáról" elolvasható itt. A cikk szerint a hiba miatt alkalmazások százai sebezhetők a javított verzió telepítéséig.

 »
  • A hozzászóláshoz belépés szükséges
  • 5835 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
( Hunger | 2014. március 5., szerda - 9:51 )

http://buhera.blog.hu/2014/03/04/gnutls_vs_ssl_goto_cleanup

( gkaroly (veterán) | 2014. március 5., szerda - 9:56 )

Az szép...

--
-- GKPortál Blog
Tégy Jót!
Legyen neked is Dropbox tárhelyed! :)

( tr3w (veterán) | 2014. március 5., szerda - 10:04 )

(Ezért most nem regisztrálnék a linkelt oldalra, de a result = 0 nem új sor...)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( tr3w (veterán) | 2014. március 5., szerda - 10:01 )

Gyönyörű...

Ha már egyszer intet használnak bool helyett illetve a hibakódok visszaadására is, akkor talán üdvös lenne, ha az konzisztens volna. Ezt azért már a '85-ös WIN16 API-ban sem sikerült elrontani, jó lenne nem visszafejlődni...

De a reakciókat olvasgatva úgy tűnik, hogy a GnuTLS minősíthetetlensége többek előtt ismert volt. Szóval az igazi kérdés nem az, hogy mit keres benne egy ilyen hiba, hanem az, hogy miért használta bárki.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( fejesjoco (veterán) | 2014. március 5., szerda - 11:29 )

Az OpenSSL-ben jobban el vannak rejtve a hibák, meg úgy egyébként minden más is :)

--

( cherockee (veterán) | 2014. március 5., szerda - 11:58 )

2 előadást láttam csak az OpenSSL és kapcsolódó rendszerek ilyen irányú hibáiról, én, aki teljesen másik végén vagyok a programozási skálának, hatalmasakat néztem.

Tényleg azt nem értem, hogy ez mitől maradhatott így? Lustaság, vagy csak nem volt pénz egy project-re, ami legalább részben leváltaná-auditálná-...?

( jupiter2005ster (veterán) | 2014. március 6., csütörtök - 9:08 )

nem ertem. ha tudnak rola miert nem javitjak?
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

( snq- | 2014. március 5., szerda - 16:21 )

manyeyeball delivers

( btami (veterán) | 2014. március 5., szerda - 23:12 )

unalmas
--
♙♘♗♖♕♔

( gelei (veterán) | 2014. március 6., csütörtök - 0:34 )

Amíg vannak olyanok, akik a manyeyeball teóriát bekajálják, addig ellenzői is lesznek. Ilyen az élet. :)

( btami (veterán) | 2014. március 6., csütörtök - 11:31 )

Valahogy sehol nem tudtam felfedezni a cikkben ezt a teóriát. Te igen?
--
♙♘♗♖♕♔

( gelei (veterán) | 2014. március 6., csütörtök - 12:11 )

Nem ebben a cikkben. Úgy általában.

( btami (veterán) | 2014. március 6., csütörtök - 13:00 )

Óvodás dolognak tűnik.
--
♙♘♗♖♕♔

( snq- | 2014. március 6., csütörtök - 15:59 )

pedig 9 éves

( btami (veterán) | 2014. március 6., csütörtök - 16:08 )

ásít
--
♙♘♗♖♕♔

( snq- | 2014. március 6., csütörtök - 16:18 )

honnan gondolod?