OpenForum RSS: В LibreSSL 2.0.2 устранена уязвимость, проявляющаяся на плат... https://www.opennet.me/openforum/vsluhforumID3/96963.html Разработчики проекта OpenBSD выпустили (http://marc.info/?l=openbsd-announce&m=140550655018712&w=2) обновление переносимой редакции пакета LibreSSL 2.0.2 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новом выпуске устранена недоработка (https://www.agwa.name/blog/post/libressls_prng_is_unsafe_on_linux), которая может привести к серьёзным проблемам с безопасностью на платформе Linux.<br><br><br><br>Проблема связана с особенностью реализации в LibreSSL генератора псевдослучайных чисел (PRNG), который был завязан на возможности OpenBSD и не учитывал некоторые особенности платформы Linux. В частности, LibreSSL использовал изменение PID для отслеживания форков и инициирования переинициализации PRNG, но не учитывал, что один 16-разрядный PID-идентификатор может быть назначен двум и более ответвляемым процессам. В Linux гарантируется, что ответвлённые дочерние процессы будут иметь всегда разные PID, но допускается, что при определён Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к доба... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/96963.html#93 Tue, 22 Jul 2014 08:07:19 GMT &gt;&gt; На чём работать умеют, на то и затачивают.<br>&gt; Прекрасно, но зачем тогда было втирать очки про портабельность? Тогда systemd - <br>&gt; тоже вполне портабельная программа.<br><br>Попробуйте скомпилировать и протестировать LibreSSL на своём линуксе. Есть хороший шанс, что это получится вообще без допиливания чего-либо.<br><br>А потом сделайте то же с systemd в OpenBSD/NetBSD/MacOS X.<br><br>И вот только после этого что-то заявляйте.<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к доба... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/96963.html#92 Tue, 22 Jul 2014 08:04:54 GMT &gt;&gt; Ага, обещали "переносимую версию", а реально все затачивают под особенности OpenBSD.<br>&gt; На чём работать умеют, на то и затачивают.<br><br>На самом деле, всё сделано просто: LibreSSL использует всё, что ему нужно, а если в искомой ОС (не-OpenBSD) нет каких-то возможностей, то при сборке подключается необходимая "добавка" кода. Таким образом имеем читаемый (ergo, понятный, ergo, менее грабельный) код и при этом хорошую переносимость. Именно таким образом организованы остальные дочерние проекты OpenBSD, и на их портабельность, вроде, особо не жалуются.<br><br>А разработчики LibreSSL выпустили уже 2.0.3. :)<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к доба... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/96963.html#91 Mon, 21 Jul 2014 09:30:02 GMT Точно, у меня в проекте чип имеет аппаратный генератор. Вся информация - это одна строчка в описании регистра:<br>31:0 random_number R 0xXXXXXXXX This register contains a random 32 bit number which is<br>computed each time it is read.<br>О качестве генератора можно только догадываться.<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к доба... (Xasd) https://www.opennet.me/openforum/vsluhforumID3/96963.html#90 Sun, 20 Jul 2014 12:24:17 GMT STDRND (плюс к SDTIN, STDOUT, STDERR) -- это было бы отличной идеей.<br><br>накладных расходов это практически не добавит, а вот польза большая (куча программ используют случайные числа и чуть меньше программ -- крипографию).<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к... (arisu) https://www.opennet.me/openforum/vsluhforumID3/96963.html#89 Sun, 20 Jul 2014 06:56:26 GMT да, павлуша окончательно деградировал: xasd &#171;программером&#187; считает. осталось теперь подвальных бомжей в интеллектуалы записать &#8212; и будет совсем хорошо.<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к... (arisu) https://www.opennet.me/openforum/vsluhforumID3/96963.html#88 Sun, 20 Jul 2014 06:42:26 GMT молодец, чётко свой идиотизм демонстрируешь.<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к... (bOOster) https://www.opennet.me/openforum/vsluhforumID3/96963.html#87 Sun, 20 Jul 2014 05:42:23 GMT А PRNG можешь засунуть себе в одно место и проворачивать... Регулярно будешь замечать PSEUDORANDOM мушку<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к... (bOOster) https://www.opennet.me/openforum/vsluhforumID3/96963.html#86 Sun, 20 Jul 2014 05:06:12 GMT &gt; Я одного не понимаю, как ты живешь с генератором случайных чисел от <br>&gt; таймера CPU.. Хотя да, заметны систематические излияния гамна по /dev/random :) <br><br> u забыл... Но недалеко ушел<br> Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к... (bOOster) https://www.opennet.me/openforum/vsluhforumID3/96963.html#85 Sun, 20 Jul 2014 05:02:16 GMT Я одного не понимаю, как ты живешь с генератором случайных чисел от таймера CPU.. Хотя да, заметны систематические излияния гамна по /dev/random :)<br>