Уязвимость в библиотеке MatrixSSL

15.02.2019 10:32

В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50151-matrixssl

Ключевые слова: matrixssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.2, Аноняшка (?), 15:07, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> уязвимость,
> SSL
> в 2014 году
> Intel
> CVE-2014-1569
> Mozilla
> в 2014 году, Карл!
> до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...
> переполнению буфера при обработке специально оформленных сертификатов X.509

ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe

> лежащей в основе коммерческого продукта

за что люди платят?) Свободные программы не хуже)

2.8, Аноним (8), 02:51, 16/02/2019 [^] [^^] [^^^] [ответить]	–4 +/–
Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?

3.10, Аноним (10), 05:41, 16/02/2019 [^] [^^] [^^^] [ответить]	+/–
Зачем бесплатно? Свободное != бесплатное.

4.11, Аноним (11), 15:29, 16/02/2019 [^] [^^] [^^^] [ответить]	+/–
Обоснуйте свою точку зрения.

3.13, Аноним (13), 22:16, 16/02/2019 [^] [^^] [^^^] [ответить]	+/–
Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства

1.4, Xasd5 (?), 15:48, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
кто вообще знает про существование этого matrxssl ? кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки

2.6, Аноним84701 (ok), 16:19, 15/02/2019 [^] [^^] [^^^] [ответить]

+1 +/–

> кто вообще знает про существование этого matrxssl ?
> кто является клиентами?

Оно как суслик -- вроде бы ни разу в жизни не видел, но …
> Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixssl

Говорят, intel, canon, d-link:
http://forums.dlink.com/index.php?topic=73920.0
> Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSL

там лицензия дуальная, gpl-проприетарная, так что …

2.9, h31 (ok), 02:59, 16/02/2019 [^] [^^] [^^^] [ответить]	+/–
> почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки Лично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.

3.12, Xasd (ok), 20:38, 16/02/2019 [^] [^^] [^^^] [ответить]	+/–
> для встраиваемых устройств - слишком жирно надеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: