The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в библиотеке MatrixSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от opennews (??), 15-Фев-19, 14:49 
В открытой криптографической библиотеке MatrixSSL (https://github.com/matrixssl/matrixssl), рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена (https://seclists.org/oss-sec/2019/q1/137) уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569 (https://security-tracker.debian.org/tracker/CVE-2014-1569)) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту (https://github.com/FiloSottile/BERserk) для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала (https://www.mcafee.com/enterprise/en-us/threat-center/advanc...), что  MatrixSSL  имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.


URL: https://seclists.org/oss-sec/2019/q1/137
Новость: https://www.opennet.ru/opennews/art.shtml?num=50151

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в библиотеке MatrixSSL"  +1 +/
Сообщение от Аноняшка (?), 15-Фев-19, 15:07 
> уязвимость,
> SSL
> в 2014 году
> Intel
> CVE-2014-1569
> Mozilla
> в 2014 году, Карл!
> до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...
> переполнению буфера при обработке специально оформленных сертификатов X.509

ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe

> лежащей в основе коммерческого продукта

за что люди платят?) Свободные программы не хуже)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке MatrixSSL"  –4 +/
Сообщение от Аноним (8), 16-Фев-19, 02:51 
Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от Аноним (10), 16-Фев-19, 05:41 
Зачем бесплатно? Свободное != бесплатное.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от Аноним (11), 16-Фев-19, 15:29 
Обоснуйте свою точку зрения.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от Аноним (13), 16-Фев-19, 22:16 
Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Уязвимость в библиотеке MatrixSSL"  +4 +/
Сообщение от Xasd5 (?), 15-Фев-19, 15:48 
кто вообще знает про существование этого matrxssl ?

кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в библиотеке MatrixSSL"  +1 +/
Сообщение от Аноним84701 (ok), 15-Фев-19, 16:19 
> кто вообще знает про существование этого matrxssl ?
> кто является клиентами?

Оно как суслик -- вроде бы ни разу в жизни не видел, но …
> Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixssl

Говорят, intel, canon, d-link:
http://forums.dlink.com/index.php?topic=73920.0
> Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSL

там лицензия дуальная, gpl-проприетарная, так что …

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от h31 (ok), 16-Фев-19, 02:59 
> почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

Лично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Уязвимость в библиотеке MatrixSSL"  +/
Сообщение от Xasd (ok), 16-Фев-19, 20:38 
> для встраиваемых устройств - слишком жирно

надеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру