id: Гость   вход   регистрация
текущее время 08:43 24/02/2024
Владелец: unknown (создано 08/04/2014 11:32), редакция от 12/04/2014 17:52 (автор: unknown) Печать
Категории: софт, анонимность, криптоанализ, инфобезопасность, tor, ошибки и баги, уязвимости, стандарты, атаки, ssl, разное, события
http://www.pgpru.com/Новости/2014/УязвимостьВOpenSSLМожетПодвергатьОпасностиПользователейTorИДругихПрограмм
создать
просмотр
редакции
ссылки

08.04 // Уязвимость в OpenSSL может подвергать опасности пользователей Tor и других программ


Новая уязвимость в OpenSSL 1.0 — 1.0.1 может быть использована для раскрытия данных, находящихся в памяти клиента, соединяющегося с сервером — CVE-2014-0160. Верно и обратное — раскрытие данных в памяти сервера, использующего OpenSSL, если с ним способен установить соединение злонамеренный клиент.


Использование более старых версий OpenSSL безопасно.


Проверка системной версии (не из пакета TBB):

Уязвимые на данный момент версии: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1, 1.0.2-beta1. В состав дистрибутивов Linux и др. операционных систем после исправления уязвимости могут входить версии с таким же номером, но с добавлением номера патча из пакета. Проверьте установленную версию средствами своего пакетного менеджера.


Heartbleed (8 Кб)


Эта уязвимость, получившая название "Heartbleed" («кровоточащее сердце»), затрагивает множество программ, не только Tor — каждый, кто запускает https-сервер или клиент может быть потенциальным противником или жертвой: возможна утечка памяти всех процессов, использующих OpenSSL (например веб-сервера, VPN и др). Если вам нужна стойкая анонимность и приватность в интернете, то стоит подумать о прекращении использования интернета на ближайшие несколько дней до исправления уязвимости.


Уязвимость не была обнаружена с марта 2012 года.


Следующие сведения имеют отношения к компонентам Tor:


  1. Клиенты: Непосредственно браузер из состава Tor Browser Bundle не должен быть уязвимым, т.к. использует libnss, а не openssl. Но клиенты Tor способны отправлять информацию о том, какие сайты они посещали в пределах данной сессии своим входящим узлам. Для TBB будут незамедлительно выпущены новые версии Tor Browser 3.5.4 is Released; для пользователей системного тор-демона необходимо будет обновить OpenSSL и вручную перезапустить Tor.
  2. Релеи и бриджи: узлы Tor и бриджи могут производить утечку своих среднесрочных onion-ключей (меняющихся раз в неделю) или долговременных аутентификационных ключей узлов. Атакующий, который знает идентифицирующий ключ вашего релея, может опубликовать новый дескриптор сообщающий о смене вашего местоположения (не слишком опасная атака). Если при этом атакующий может перехватывать трафик до релея, знает onion-ключ, то он может перехватывать трафик от вас до вашего релея, подменяя его адрес на свой подставной. Из-за многохоповой конструкции Tor такая атака только на один узел также не слишком опасна. В любом случае, это требует обновления OpenSSL, обновления данных в DataDirectory узла и перезапуска Tor для генерации новых ключей.
  3. Скрытые сервисы: у них происходит утечка долговременных аутентификационных ключей к их гвард-узлам. Как и в предыдущем крупном баге в OpenSSL это не позволит атакующему определить местоположение скрытого сервиса, но знание его ключа позволит производить его подмену. По обновлённым сведениям IP-адрес скрытого сервиса также может быть раскрыт. Рекомендуется сменить адрес скрытого сервиса после обновления.
  4. Корневые авторизующие диектории: у них, помимо вышеописанных утечек узловых и мостовых ключей, может происходить утечка среднесрочных ключей подписи статистики. После обновления OpenSSL их владельцам потребуется создать новые ключи подписей. Долговременные ключи находятся в оффлайне и неподвержены атаке. Из-за прописывания отпечатков ключей в код клиентов пока не выработана стратегия смены ключей с минимальным ущербом для пользователей сети.
  5. Tails: использует Debian oldstable и неподвержен уязвимости.
  6. Orbot: уязвим; детали будут опубликованы позднее.
  7. Большинство серверов https://www.torproject.org потребуют обновлений и смены сертификатов.

![WWW] Как сообщает ведущий разработчик Tor, Роджер Динглдайн, последствия Heartbleed-уязимости для сети Tor до конца не выяснены. На данный момент установлено, что она позволяет раскрывать IP-адреса скрытых сервисов. Также подозревается существование возможности проведения Heartbleed-атаки на пользователя не только со стороны сторожевых узлов, но и производя MiTM в локальной сети — например со стороны провайдера или путём перехвата беспроводного соединения.

Источник: Torproject Blog.


 
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Комментарии [скрыть комментарии/форму]
— Гость (23/04/2014 17:36)   <#>
Наверно, в моем Debian'е не хватает каких-то шрифтов, поэтому я в TBB не вижу никаких Comic Sans в этом тексте.
— unknown (23/04/2014 17:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Аналогично.
— Гость (23/04/2014 17:54)   <#>
В Tor Browser есть какие-то ограничение на шрифты. У кого-нибудь в TBB задетектило хипстера?
— SATtva (23/04/2014 18:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Я ходил не через TBB.
— Гость (23/04/2014 18:18)   <#>

Убрали.
— Гость (23/04/2014 18:19)   <#>

Нет, вынесли всё в файл со стилями.
— SATtva (23/04/2014 18:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Оно там и было изначально.
— Гость (23/04/2014 18:31)   <#>
Оно там и было изначально.

Пару дней назад было в самом файле с телом текста.

Судя по документу на Tor браузер:
Implementation Status: We disable plugins, which prevents font enumeration. Additionally, we limit both the number of font queries from CSS, as well as the total number of fonts that can be used in a document with a Firefox patch. We create two prefs, browser.display.max_font_attempts and browser.display.max_font_count for this purpose. Once these limits are reached, the browser behaves as if browser.display.use_document_fonts was set. We are still working to determine optimal values for these prefs.

Ничто не мешает показывать текст Comic Sans шрифтом, если установлен.
Фингерпринт сработал, каналом утечки стал сам пользователь.
— SATtva (24/04/2014 13:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

/comment78895
— Гость (05/06/2014 20:42)   <#>
Новая бага в OpenSSL, как теперь модно со своим сайтом. Не столь кровавая, не затрагивает браузеры никак, но позволяет снять верхний слой защиты с Tor коммуникаций, если обе стороны обмена уязвимы.
— unknown (05/06/2014 21:21, исправлен 05/06/2014 21:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Просто праздник какой-то! openssl.org последние полчаса не открывается.

— Гость (05/06/2014 21:31)   <#>

www.openssl.org работает.
— Гость (08/06/2014 07:55)   <#>

Почему новый TBB они решили не выпускать?


Судя по ссылкам, о баге автор знал уже хрен знает сколько. В частности, OpenSSL-team был им оповещён ещё месяц назад.
— Гость (08/06/2014 08:16)   <#>
Почему новый TBB они решили не выпускать?

Скоро выпустят, через день-два будет у тестировщиков. Там не только библиотека, но ещё обновление Firefox.

Судя по ссылкам, о баге автор знал уже хрен знает сколько.

С конца апреля.
— unknown (08/06/2014 22:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А существует баг вроде как с момента появления проекта ≈ 15 лет.
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3