id: Гость   вход   регистрация
текущее время 02:03 29/03/2024
Владелец: unknown (создано 08/04/2014 11:32), редакция от 12/04/2014 17:52 (автор: unknown) Печать
Категории: софт, анонимность, криптоанализ, инфобезопасность, tor, ошибки и баги, уязвимости, стандарты, атаки, ssl, разное, события
http://www.pgpru.com/Новости/2014/УязвимостьВOpenSSLМожетПодвергатьОпасностиПользователейTorИДругихПрограмм
создать
просмотр
редакции
ссылки

08.04 // Уязвимость в OpenSSL может подвергать опасности пользователей Tor и других программ


Новая уязвимость в OpenSSL 1.0 — 1.0.1 может быть использована для раскрытия данных, находящихся в памяти клиента, соединяющегося с сервером — CVE-2014-0160. Верно и обратное — раскрытие данных в памяти сервера, использующего OpenSSL, если с ним способен установить соединение злонамеренный клиент.


Использование более старых версий OpenSSL безопасно.


Проверка системной версии (не из пакета TBB):

Уязвимые на данный момент версии: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1, 1.0.2-beta1. В состав дистрибутивов Linux и др. операционных систем после исправления уязвимости могут входить версии с таким же номером, но с добавлением номера патча из пакета. Проверьте установленную версию средствами своего пакетного менеджера.


Heartbleed (8 Кб)


Эта уязвимость, получившая название "Heartbleed" («кровоточащее сердце»), затрагивает множество программ, не только Tor — каждый, кто запускает https-сервер или клиент может быть потенциальным противником или жертвой: возможна утечка памяти всех процессов, использующих OpenSSL (например веб-сервера, VPN и др). Если вам нужна стойкая анонимность и приватность в интернете, то стоит подумать о прекращении использования интернета на ближайшие несколько дней до исправления уязвимости.


Уязвимость не была обнаружена с марта 2012 года.


Следующие сведения имеют отношения к компонентам Tor:


  1. Клиенты: Непосредственно браузер из состава Tor Browser Bundle не должен быть уязвимым, т.к. использует libnss, а не openssl. Но клиенты Tor способны отправлять информацию о том, какие сайты они посещали в пределах данной сессии своим входящим узлам. Для TBB будут незамедлительно выпущены новые версии Tor Browser 3.5.4 is Released; для пользователей системного тор-демона необходимо будет обновить OpenSSL и вручную перезапустить Tor.
  2. Релеи и бриджи: узлы Tor и бриджи могут производить утечку своих среднесрочных onion-ключей (меняющихся раз в неделю) или долговременных аутентификационных ключей узлов. Атакующий, который знает идентифицирующий ключ вашего релея, может опубликовать новый дескриптор сообщающий о смене вашего местоположения (не слишком опасная атака). Если при этом атакующий может перехватывать трафик до релея, знает onion-ключ, то он может перехватывать трафик от вас до вашего релея, подменяя его адрес на свой подставной. Из-за многохоповой конструкции Tor такая атака только на один узел также не слишком опасна. В любом случае, это требует обновления OpenSSL, обновления данных в DataDirectory узла и перезапуска Tor для генерации новых ключей.
  3. Скрытые сервисы: у них происходит утечка долговременных аутентификационных ключей к их гвард-узлам. Как и в предыдущем крупном баге в OpenSSL это не позволит атакующему определить местоположение скрытого сервиса, но знание его ключа позволит производить его подмену. По обновлённым сведениям IP-адрес скрытого сервиса также может быть раскрыт. Рекомендуется сменить адрес скрытого сервиса после обновления.
  4. Корневые авторизующие диектории: у них, помимо вышеописанных утечек узловых и мостовых ключей, может происходить утечка среднесрочных ключей подписи статистики. После обновления OpenSSL их владельцам потребуется создать новые ключи подписей. Долговременные ключи находятся в оффлайне и неподвержены атаке. Из-за прописывания отпечатков ключей в код клиентов пока не выработана стратегия смены ключей с минимальным ущербом для пользователей сети.
  5. Tails: использует Debian oldstable и неподвержен уязвимости.
  6. Orbot: уязвим; детали будут опубликованы позднее.
  7. Большинство серверов https://www.torproject.org потребуют обновлений и смены сертификатов.

![WWW] Как сообщает ведущий разработчик Tor, Роджер Динглдайн, последствия Heartbleed-уязимости для сети Tor до конца не выяснены. На данный момент установлено, что она позволяет раскрывать IP-адреса скрытых сервисов. Также подозревается существование возможности проведения Heartbleed-атаки на пользователя не только со стороны сторожевых узлов, но и производя MiTM в локальной сети — например со стороны провайдера или путём перехвата беспроводного соединения.

Источник: Torproject Blog.


 
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Комментарии [скрыть комментарии/форму]
— Гость (17/03/2015 10:41)   <#>
Анонс новой баги.
Forthcoming OpenSSL releases
==============
The OpenSSL project team would like to announce the forthcoming release of OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf.

These releases will be made available on 19th March. They will fix a
number of security defects. The highest severity defect fixed by these releases is classified as "high" severity.

До четверга ещё надо успеть доделать сайт с кровищем и кишками комиксами про уязвимость.
— Гость (17/03/2015 11:10)   <#>
Тут пишут
the new High is 1.0.2 only, other versions new issues just Moderate and Low

Тогда отбой тревоги, 1.0.2 не добралась ещё до дистрибутивов и бандлов.
— Гость (17/03/2015 18:39)   <#>

Точно, коммерсам и полицям надо дать знать об уязвимости заранее, чтоб воспользовались, где можно.
— Гость (20/03/2015 09:08)   <#>

Опубликовали. Заметка от opennet, но тот самый случай когда чтение через гугл-транслейт будет полезней.
Первая из опасных проблем (CVE-2015-0204) затрагивает ветки 1.0.1, 1.0.0 и 0.9.8 и закрывает на стороне клиента возможность совершения недавно анонсированной атаки FREAK, позволяющей сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика.

В оригинале
Reclassified: RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204)

Код уже исправлен в предыдущих версиях, анонс только повышает уровень опасности.

Судя по коду, самое актуальное в случае с тором (но почему-то moderate) это Segmentation fault in ASN1_TYPE_cmp (CVE-2015-0286). Segfault происходит при разыменовывании нулевого указателя.
— Гость (21/03/2015 03:50)   <#>

+1, только без гугл-транслейта.


Или понижает, т.к. дополнительно мотивирует обновиться тех, кто этого ещё не сделал.

Обновляться всё равно надо, там много узявимостей, хоть и «moderate».
— Гость (24/03/2015 08:04)   <#>

В Torbrowser 4.0.5 забили на обновление openssl до 1.0.1m. Вот она жизнь в упаковке, неожиданно навалились серьезные баги в одном компоненте (браузере) и на все оставшееся внимания не хватило.
— Гость (24/03/2015 09:07)   <#>

Во-первых, по вашей ссылке ничего об этом нет. Тяжело было привести ссылку на changelog, где это сказано? Кстати, системному Tor'у это нестрашно, он цепляет системный OpenSSL.
— Гость (24/03/2015 09:28)   <#>

Там же:
Here is the changelog since 4.0.4:

All Platforms
Update Firefox to 31.5.3esr
Update Tor 0.2.5.11
Update NoScript to 2.6.9.19

В этом changelog отображают все изменения, для примера из 4.0.4
Update OpenSSL to 1.0.1l
— Гость (25/03/2015 09:30)   <#>
Да, после обновления при запуске TBB написал в консоль, что там OpenSSL 1.0.1l.
— pgprubot (17/06/2015 08:03, исправлен 17/06/2015 13:31)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Теперь есть сайт с кровью и кишками, всё как положено (https://weakdh.org/):


Logjam attack against the TLS protocol. The Logjam attack allows a man-in-the-middle attacker to downgrade vulnerable TLS connections to 512-bit export-grade cryptography. This allows the attacker to read and modify any data passed over the connection. The attack is reminiscent of the FREAK attack, but is due to a flaw in the TLS protocol rather than an implementation vulnerability, and attacks a Diffie-Hellman key exchange rather than an RSA key exchange.

We carried out this computation against the most common 512-bit prime used for TLS and demonstrate that the Logjam attack can be used to downgrade connections to 80% of TLS servers supporting DHE_EXPORT. We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime. Breaking the single, most common 1024-bit prime used by web servers would allow passive eavesdropping on connections to 18% of the Top 1 Million HTTPS domains. A second prime would allow passive decryption of connections to 66% of VPN servers and 26% of SSH servers. A close reading of published NSA leaks shows that the agency's attacks on VPNs are consistent with having achieved such a break.

Здесь есть рекомендации держателям серверов, что делать (в частности, для OpenSSH-серверов там тоже есть, что менять; правда, дефолты в самых новых версиях вроде бы таковы, что менять ничего не надо, там по умолчанию всё ОК):


We have three recommendations for correctly deploying Diffie-Hellman for TLS:
  1. Disable Export Cipher Suites. <...>
  2. Deploy (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE). <...>
  3. Generate a Strong, Unique Diffie Hellman Group. <...>

По той же ссылке (JS нужен) проверил pgpru.com. Результат:


Warning! This site uses a commonly-shared 1024-bit Diffie-Hellman group, and might be in range of being broken by a nation-state. It might be a good idea to generate a unique, 2048-bit group for the site.

Ещё:


The video below, recorded in April 2015, demonstrates that a connection to tips.fbi.gov can be recorded and decrypted by an eavesdropper. The connection uses the OpenSSL 512-bit Diffie-Hellman group that we have already performed precomputation for. Since the group is small, without precomputation this process would only take one week. With our precomputation, we can break the Diffie-Hellman key exchange in minutes. This enables us to compute the connection keys and decrypt the recorded conversation quickly.

Есть fileофициальная работа со всем исследованием. Её основной рекомендательный посыл в том, что самое правильное решение — всем бежать на ECC с Curve25519. Tor уже там:


We added curve25519 back in 0.2.4. It's proven pretty safe and reliable since then, and I think we'd agree that it's much more cryptographically secure than RSA-1024/DH-1024 TAP.

Is there any reason to keep the ability to disable curve25519 support?

Стр. 11:


6. DISCLOSURE AND RESPONSE

We notified both client and server software developers of the vulnerabilities discussed in this work. As a result of our disclosure, Microsoft Internet Explorer [36], Mozilla Firefox, and Google Chrome have increased the minimum size of the groups they accept for DHE to 1024 bits, and OpenSSL and Apple Safari are expected to follow suit. On the server side, we notified Apache, Oracle, IBM, Cisco, and various hosting providers. Akamai has removed all support for export ciphersuites. In the medium-term, many TLS developers plan to support a new extension that allows clients and servers to negotiate a few well-known groups of size 2048-bits and higher, and to gracefully reject weak ones [18]. We will be able to report on the full vendor response in the final version of this paper.

Правда, непонятно, они вышеперечисленных заранее тайно предупредили ещё до публикации работы и анонса бага или наравне со всеми, одновременно.


Для OpenVPN информацию с рекомендациями на сайте не выложили.


TBB в честь logjam-атаки апдейтится до 4.5.2, но похоже, что только из-за TorBrowser'а, а OpenSSL и Tor к этой атаке непосредственного отношения не имеют.


P.S. Новость на opennet от 20-го мая.
А на ЛОРе уже LogJam версии 4.6.0.

— pgprubot (18/06/2015 08:47, исправлен 18/06/2015 08:48)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Файл moduli, судя по man moduli, используется только sshd, но опция KexAlgorithms есть как для ssh_config, так и для sshd_config. Непонятно, нужно ли её менять для обеих сторон — клиентской и серверной.


В moduli содержатся параметры для всех ключей от 1024-ёх до 8192-ух битов. После выполнения инструкции в файле остаются праймы (вручную сгенерированные) только для 2048-ми бит, для больших ничего не будет. Это тоже не очень хорошо.

— pgprubot (30/07/2015 23:35, исправлен 30/07/2015 23:38)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Хорошее разъяснение на эту тему и LogJam вообще от Ааронсона:


OK, but no one still uses 512-bit keys, do they? The first part of Adrian et al.’s paper demonstrates that, because of implementation issues, even today you can force many servers to “downgrade” to the 512-bit, export-grade keys—and then, having done so, you can stall for time for 90 seconds as you figure out the session key, and then do a man-in-the-middle attack and take over and impersonate the server. It’s an impressive example of the sort of game computer security researchers have been playing for a long time—but it’s really just a warmup to the main act.

As you’d expect, many servers today are configured more intelligently, and will only agree to 1024-bit keys. But even there, Adrian et al. found that a large fraction of servers rely on just a single 1024-bit prime (!), and many of the ones that don’t rely on just a few other primes. Adrian et al. estimate that, for a single 1024-bit prime, doing the NFS precomputation would take about 45 million years using a single core—or to put it more ominously, 1 year using 45 million cores. If you built special-purpose hardware, that could go down by almost two orders of magnitude, putting the monetary cost at a few hundred million dollars, completely within the reach of a sufficiently determined nation-state. Once the precomputation was done, and the terabytes of output stored in a data center somewhere, computing a particular discrete log would then take about 30 days using 1 core, or mere minutes using a supercomputer. Once again, none of this is assuming any algorithmic advances beyond what’s publicly known. (Of course, it’s possible that the NSA also has some algorithmic advances; even modest ones could obviate the need for special-purpose hardware.)
— Гость_ (17/04/2016 00:41)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13
An Analysis of OpenSSL's Random Number Generator. Для практики уязвимости вроде не слишком фатальны.
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3