Fél tucat új OpenSSL biztonsági hiba bejelentés

SSL/TLS MITM vulnerability (CVE-2014-0224) - "carefully crafted handshake can force the use of weak keying material in OpenSSL SSL/TLS clients and servers. This can be exploited by a Man-in-the-middle (MITM) attack"
DTLS recursion flaw (CVE-2014-0221) - "By sending an invalid DTLS handshake to an OpenSSL DTLS client the code can be made to recurse eventually crashing in a DoS attack."
DTLS invalid fragment vulnerability (CVE-2014-0195) - "A buffer overrun attack can be triggered by sending invalid DTLS fragments to an OpenSSL DTLS client or server. This is potentially exploitable to run arbitrary code on a vulnerable client or server."
SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198) - "A flaw in the do_ssl3_write function can allow remote attackers to cause a denial of service via a NULL pointer dereference."
SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298) - "A race condition in the ssl3_read_bytes function can allow remote attackers to inject data across sessions or cause a denial of service."
Anonymous ECDH denial of service (CVE-2014-3470) - "OpenSSL TLS clients enabling anonymous ECDH ciphersuites are subject to a denial of service attack."

OpenSSL 1.0.0m and OpenSSL 0.9.8za also contain a fix for CVE-2014-0076: Fix for the attack described in the paper "Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"

https://www.openssl.org/news/secadv_20140605.txt

Hozzászólások

Annyit láttam, hogy FreeBSD-hez megjött valami SA. Mondjuk hogy pontosan mit javítottak ebből a sokból (meg mit rontottak el :-) ) az kérdéses. Mondjuk ezek a hivatkozások szerepelnek benne:

[CVE-2014-0195]
[CVE-2014-0221]
[CVE-2014-0224]
[CVE-2014-3470]

Pedig pont *BSD oldalról várhatóak voltak ezek a bejelentések. OpenBSD-sek közöltek egy pár slide-os tanulságot, hol tart a LibreSSL fejlesztése. Milyen programozási hibákkal találkoztak OpenSSL-ben, miket javítottak. Egyértelműen közölték hogy sok hülye megoldás van az OpenSSL forrásában és több akár ki is használható. :(

DSA: "You can use the tool checkrestart from the package debian-goodies to detect affected programs or reboot your system. There's also a forthcoming security update for the Linux kernel later the day (CVE-2014-3153), so you need to reboot anyway. Perfect timing, isn't it?"

Nagyon viccesre fogták :)

Brace yourself - emergency OpenSSL upgrade changes are coming (again)
Óóó, hogy megint mennyit kell majd magyarázkodni...
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..