Ничто не хорошо настолько, чтобы где-то не нашелся кто-то, кто это ненавидит.

18-летняя Катя, изучавшая психологию с 5-класса, мечтала не о принце, а о придурке. ...

Facebook открыл код платформы Detectron для распознавания объектов на фотографиях
Tue, 23 Jan 2018 10:12:25 +0600

Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
Mon, 22 Jan 2018 19:47:37 +0600

Red Hat отменил обновление микрокода с устранением уязвимости Spectre
Sat, 20 Jan 2018 10:44:48 +0600

Проект OpenSSL переносит обсуждение разработки из списка рассылки на GitHub
Sat, 20 Jan 2018 10:15:02 +0600

В Firefox 58 появится новый двухуровневый компилятор
Thu, 18 Jan 2018 12:19:16 +0600

Google переводит рабочие станции инженеров с Goobuntu (Ubuntu) на gLinux (Debian)
Thu, 18 Jan 2018 10:05:24 +0600

В systemd 237 запланирована поддержка VPN WireGuard
Thu, 18 Jan 2018 04:31:11 +0600

Verizon стал платиновым участником Linux Foundation и присоединился к разработке ONAP
Wed, 17 Jan 2018 11:43:17 +0600

Mozilla обратилась в суд для защиты сетевого нейтралитета
Wed, 17 Jan 2018 10:26:01 +0600

Новые Web API в Firefox будут доступны только для HTTPS
Tue, 16 Jan 2018 10:50:31 +0600

Обновление микрокода Intel приводит к перезагрузкам систем с CPU Broadwell и Haswell
Mon, 15 Jan 2018 07:17:58 +0600

В Firefox тестируют механизм ускорения навигации по вкладкам
Sun, 14 Jan 2018 22:21:23 +0600

В Firefox 59 будет прекращена поддержка GTK+ 2
Sat, 13 Jan 2018 23:51:01 +0600

Компания Apple присоединилась к альянсу, развивающему свободный видеокодек
Thu, 11 Jan 2018 11:56:35 +0600

Ошибка в обновлении ядра в Ubuntu 16.04 приводит к сбою загрузки системы
Wed, 10 Jan 2018 23:08:11 +0600

Новости OPENNET
Новости

Сервис Let's Encrypt опубликовал описание уязвимости, из-за которой сегодня утром был отключен метод проверки владения доменом TLS-SNI-01. Проблема была не на стороне Let's Encrypt и была вызвана предоставлением излишних полномочий на некоторых хостингах.

Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом.

Если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайный токен, сгенерировать проверочный сертификат и загрузить его для домена "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки сервер ACME определит IP-адрес домена example.com и отправит на него HTTPS-запрос проверочного домена "токен.acme.invalid" с использованием расширения SNI. Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует домен example.com.

Разработчики Let's Encrypt намерены вернуть поддержку TLS-SNI-01 как только будут абсолютно уверены в безопасности предпринятых мер защиты. Пока в качестве пути для решения проблемы называется работа с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля за доменами пользователей. Представители Let's Encrypt уже связались с провайдерами, у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В течение 48 часов будет представлен список проблемных провайдеров и связанных с ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена для всех адресов, за исключением чёрного списка.

Напомним, что метод TLS-SNI-01 позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS). При использовании TLS-SNI-01 ACME-сервер генерирует случайный токен и возвращает его клиенту. Клиент ACME использует токен для создания самоподписанного сертификата, который генерируется для несуществующего домена (например, 773c7d.13445a.acme.invalid).

56.4115 69.0702 0.5084 8.81

НОВОСТИ: Выпуск GNU Wget 1.19.3 Sat, 20 Jan 2018 09:52:15 +0600

Доступен релиз GNU Wget 1.19.3, программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP. В новой версии добавлена поддержка кода ответа 308 (Permanent Redirect) и возможность сборки с OpenSSL 1.1 с отключением устаревшей функциональности. Также устранён крах, возникающий в случае обработки ответа без заголовка Content-Type.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome