Kritické chyby v OpenSSL umožňují vzdáleně shodit server

26. 3. 2021

11 nových názorů

OpenSSL

Autor: OpenSSL

Včera byly oznámeny dvě kritické chyby v OpenSSL. První z nich CVE-2021–3449 umožňuje upravenou zprávou ClientHello při TLS 1.2 renegotiation shodit server. Všechny verze OpenSSL 1.1.1 jsou zranitelné, je potřeba aktualizovat na 1.1.1k. OpenSSL 1.0.2 zranitelné není.

Druhá chyba CVE-2021–3450 umožňuje obejít kontrolu certifikátu, pokud je nastaveno X509_V_FLAG_X509_STRICT. Zranitelné jsou verze od 1.1.1h, je opět potřeba aktualizovat na 1.1.1k.

(zdroj: arstechnica)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

26. 3. 2021 13:24

Ink

Zajímalo by mě, jestli OpenSSL někdy bude důvěryhodná. Sice je hezké, že se nedávno rozhodli vrhnout na opravy chyb, ale IMO ten kód je prostě z principu náchylný k různým podobným chybám.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 13:47

cc

Já moc nevidím problém v OpenSSL, spíš v těch miliardách Android telefonů a tabletů, které už aktualizaci nikdy nedostanou...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 15:06

Ink

Jak to souvisí?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 16:08

Allstar

Nijak
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 15:39

Trident

AFAIK androidi nepoužívají openssl by default od nějaké verze . Zde nechť mne androidem postizeni doplní ale nepoužíval nahodou bouncy castle and polarssl/mbed TLS?

Pořád je ale sance že si tu openssl knihovnu nějaké jelito prikompiluje k appce. To je ale problém přeložení pacienta na plicni oddělení a ne problem OS v telefonu či podpory výrobce.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 3. 2021 22:12

Jan Forman

BoringSSL ale je to fork OpenSSL, jelikož vývoj nesleduju, nejsem si jistý jestli je chyba i v ní.
Otravné to bude hlavně na serverech.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 15:59

Ivan Brezina

Popravde receno ono se to netyka ani RHEL7 (pouze RHEL8). Ta chyba se objevila celkem nedavno.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 16:04

unknown

jak kdyby android nejakou aktualizaci vubec dostaval - mozna u nekterych vyrobcu telefonu i cely prvni rok, od ty doby aktualizace uz jen tise mlci...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2021 19:58

PEAK

Vivat wolfSSL!
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 3. 2021 11:25

Uroboros

Po precteni nadpisu jsem si s hruzou predstavoval, jak se mi linuxovy stroj restartuje. Holt neni server jako server...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 3. 2021 15:14

k3dAR

Stříbrný podporovatel

take sem mel podobnej pocit, pak se ale podival na status obou CVE v *buntu 18.04 a 20.04, na serverech(i desktopech) zkontroloval ze ty opravne balicky mi uz vcera nainstaloval unattended-upgrade a jdu se v klidu nasnidat :-)
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Jan Fikar

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.

Témata:

OpenSSL