Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

OpenSSL heap overflow

2012.04.20. 16:23 | buherator | 3 komment

Kódfuttatásra alkalmas heap korrupciós hibát javítottak a megszámlálhatatlan helyen használt OpenSSL könyvtárban. A probléma a rengeteg esetben fejtörést okozó ASN.1 implementációt érinti, és egy integer kezelési problémából fakad. A hiba triggereléséhez a támadónak egy nagy méretű objektumot kell megadnia, melynek mérete negatívként értelmeződik egy méretellenőrzés során, majd pozitívként az ellenőrzést indokló memcpy() esetében, így a támadó túl írhat a neki szánt puffer határán.

A hibát Tavis Ormandy jelentette be, de mint kiderült, a sérülékenység 2006 óta(!) nyilvános volt Mark Dowdnak köszönhetően, aki a problémát leírta a The Art of Software Security Assessment című könyvben, csak éppen elfelejtette megemlíteni, hogy egy 0-dayről van szó :)

A hiba az OpenSSH-t nem érinti, a szoftver az állandó problémák miatt 2002 óta nem támogatja az ASN.1 formátumot.

Címkék: patch openssl 0day openssh tavis ormandy mark dowd buhu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii 2012.04.21. 00:42:48

Ez a hiba nekem mintapéldája a vacakul kiadott reportnal. A leírásból úgy tűnik csak S/MIME-ot és a számomra is ismeretlen (és egy mondatban sem bevezetett CMS-t vagy mit érinti), mindenki más meg van mentve.
Na mármost: Kijött a debian javítás. Elég telepíteni, vagy kell manuálisan újraindítani valamit, pl. ssh, apache?
Másrészt akkor most értint valamit direktben? Thunderbird S/Mime openssl erre épít? Vagy nem?

Tehát FUD helyett tök jó lett volna legalább valami tipp, hogy miket érint és mik teljesen indifferensek, hisz akkor azt nem update-elik

ps. különösen érdeke a beágyazott rendszerek támadhatósága, access pointok openssl alapon, stb. van gond? nincs? itt tényleg nem könnyű megítélni ha az ember nem érti magát a hibát csak a reportban bízik.

buherator · http://buhera.blog.hu 2012.04.21. 15:35:31

@boldii: Gondolom erről beszélsz:

www.openssl.org/news/secadv_20120419.txt

Vedd figyelembe, hogy egy könyvtárról van szó, amit végtelen módon lehet felhasználni. A hiba nyilván egy konkrét felhasználás kapcsán merült fel, vszínűleg ez alapján írnak az S/MIME-ról és a CMS-ről. Az összes lehetséges abuse-case felderítése szerintem lehetetlen küldetés.

boldii 2012.04.21. 18:38:57

@buherator: Igen, ha félreérthető voltam, az eredeti leírásokra gondoltam.
Megértem, hogy az összes eset felderítése nehéz, de azért jó lenne, ha tudná az ember, hogy pl. miután a debian pl. felrakja az új verziót, jogos-e hogy nem indítja újra az ssh-t és az apache-ot, vagy sem,...
süti beállítások módosítása