LibreSSL 2.0.5 - ¿Por qué no fue afectado completamente por secadv_20140806.txt?

Question

LibreSSL 2.0.5 - ¿Por qué no fue afectado completamente por secadv_20140806.txt?

#1 de ckujau (4 votos)

3

El anuncio:

We have released LibreSSL 2.0.5, which should be arriving in the
LibreSSL directory of an OpenBSD mirror near you.

This version forward-ports security fixes from OpenSSL 1.0.1i,
including fixes for the following CVEs:

CVE-2014-3506
CVE-2014-3507
CVE-2014-3508 (partially vulnerable)
CVE-2014-3509
CVE-2014-3510
CVE-2014-3511

LibreSSL 2.0.4 was not found vulnerable to the following CVEs:

CVE-2014-5139
CVE-2014-3512
CVE-2014-3505

We welcome feedback and support from the community as we
continue to work on LibreSSL.

Thank you,
 Brent

Nuestra pregunta es: ¿Por qué no fue LibreSSL afectado por el CVE-2014-5139, CVE-2014-3512, CVE-2014-3505 y solo parcialmente vulnerable por: CVE-2014-3508 ? ¿Puede alguien explicar en breve?

El enlace de asesoría de seguridad de OpenSSL: enlace

openssl

pregunta evachristine 16.08.2014 - 11:45

fuente

1 respuesta

Lea otras preguntas en las etiquetas openssl

¿Existe algún peligro al permitir que los usuarios alojen archivos PDF / RTF / DOC en mi servidor web? Cómo reconocer el tráfico TOR

score 4 · Answer 1

CVE-2014-5139 - falla con SRP ciphersuite en el mensaje de saludo del servidor - SRP ha sido pie de página del título de propiedad privada (SP) de LibreSSL en mayo de 2014, por lo que no fue necesaria ninguna solución.
CVE-2014-3512 - SRP saturación del búfer: de nuevo, no es vulnerable porque SRP ya no forma parte de LibreSSL
- Doble gratis al procesar paquetes DTLS: este ha sido

CVE-2014-3508 - openssl : fuga de información en funciones de impresión bonitas: LibreSSL sí proporcionó un fix para ello. No tengo información sobre por qué el anuncio de la versión LibreSSL 2.0.5 lo marcó como "parcialmente vulnerable", alguien con conocimiento sobre ese tema podría comparar la solución LibreSSL con la OpenSSL fix para descubrirlo. Actualización: Mientras buscaba una explicación más detallada sobre eso, encontré este hilo , donde alguien hizo las mismas preguntas y uno de los desarrolladores de OpenBSD explicó para CVE-2014-3508:

Para -3508, una de las rutas involucradas se convirtió a snprintf () y ya no podíamos dejar el búfer sin terminar, pero no teníamos Cambió el otro. Darn.

Nota: vinculé los CVE a Redzats Bugzilla, porque siempre están vinculados al compromiso real que soluciona el problema, lo cual es bueno.