The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в LibreSSL, позволяющая обойти аутентификацию по сертификатам"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в LibreSSL, позволяющая обойти аутентификацию по сертификатам"  +/
Сообщение от opennews (?), 26-Ноя-21, 10:27 
Проект OpenBSD опубликовал корректирующий выпуск переносимой редакции пакета LibreSSL 3.4.2, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новой версии устранена уязвимость в коде верификации сертификатов X.509, приводящая к игнорированию ошибки в неверифицированной цепочке сертификатов. Проблема может привести к обходу аутентификации при проверке специально оформленных сертификатов с некорректной цепочкой доверия...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56235

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +5 +/
Сообщение от пох. (?), 26-Ноя-21, 10:27 
никогда не было и вот, опять!

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +13 +/
Сообщение от E71 (?), 26-Ноя-21, 10:41 
Никогда не было такого камента и вот, опять!
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Корец (?), 26-Ноя-21, 14:01 
Что такое "камент"?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +7 +/
Сообщение от Какаянахренразница (ok), 26-Ноя-21, 14:23 
> Что такое "камент"?

От зари и до зари
Йа пешу камЕнты.
Все мои коментарИ
Рвут аплодисменты.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от protonessoemail (?), 26-Ноя-21, 10:30 
libressl уже стал никому не нужен, кроме разработчиков и пользователей OpenBSD. Хотя бы потому что очень долго синхронищируют апи с новыми версиями libressl. Если хотите секурной альтернативы openssl, то используйте boringssl
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Аноним (-), 26-Ноя-21, 10:32 
> boringssl

А где это есть из коробки в дистрибутивах и завязано в общую инфраструктуру?

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –3 +/
Сообщение от protonessoemail (?), 26-Ноя-21, 10:37 
>А где это есть из коробки в дистрибутивах и завязано в общую инфраструктуру?

Дистрибутивы переходят с libressl. Boringssl может быть прозрачной альтернативной openssl, апи и функции синхронизированы с openssl 1.1.1, думаю проблем будет поменьше. Да и у boringssl меньше уязвимостей, а он используется в андроиде и хроме.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (8), 26-Ноя-21, 10:38 
Вроде как в ChromeOS его юзают, но LibreSSL во всей продукции эпл из коробки и Айфоны в том числе
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

18. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –3 +/
Сообщение от пох. (?), 26-Ноя-21, 11:25 
>> boringssl
> А где это есть из коробки в дистрибутивах и завязано в общую

Нигде и не будет - это кастрат с реализацией меньше половины фич ("все что сложно и непонятно - выкинем"). Т.е. с ним ничего не работает и не будет. Гуглю не нужно чтобы у вас что-то работало.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (21), 26-Ноя-21, 11:42 
nginx отлично работает.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 26-Ноя-21, 12:36 
его специально патчили, чтоб "отлично работал". Причем по моему опыту - результаты этих патчей никто не проверяет (как раз принятый с моей подачи патч для совместимости с libressl. На самом деле заметавший очень похожие крошки под ковер - там тоже вызывался каллбэк ровно в том месте, где он вызываться был не должен никогда. Нет, никто не стал разбираться, почему это так. А там скорее всего - баг именно в libressl.)

Т.е. это ровно то о чем я говорю - работает специально кастрированный софт, причем не факт что он от этого стал безопасней а не наоборот.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от protonessoemail (?), 26-Ноя-21, 10:34 
с новыми версиями openssl*
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +4 +/
Сообщение от пох. (?), 26-Ноя-21, 10:49 
пользуемым он тоже не нужен, но им там никто и не собирался предоставлять выбор, разработчики знают лучше.

Если вы хотите ssl/tls - просто пользуйтесь openssl. При всем его уродстве его хотя бы поддерживают и пытаются вовремя затыкать дыры. Все остальное - продукт вторичный, наследующий все глюки и баги оригинала и еще и добавляющее свои.

Либо унылые кастраты пригодные к использованию только в специально под них изуродованном софте, причем никто не обещал что без глюков и багов (в том числе но не ограничиваясь - добавленных при уродовании). (ни на что не намекаю, wolfssl просто проходя пнул)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

32. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –2 +/
Сообщение от Крок (?), 26-Ноя-21, 16:20 
Вполне работает во фре вместо опенссл, пропатчить софт для совместимости проблемы не составляет никакой, часто вообще патчей не требуется.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

36. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от mikhailnov (ok), 26-Ноя-21, 20:46 
Зачем за всех говорите? Нужен.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

42. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +1 +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:27 
Вы вообще из своего манямирка иногда вылезайте.

libressl может использоватся на фре вместо опенссл для всех портов, сломаных портов не совместимых с либрой довольно мало.

Когда либра последний раз у нас обновилась я сам 4 порта поправил которые у меня используются чтобы исправить ошибки компиляции, для нескольких потребовалось патч сделать который просто разрешает юзать новое апи как опенссл, для остальных просто подтянуть готовое из апстрима или обновить.

Все более-менее популярные проекты уже совместимы с либрой и то что какие то линукса перестали либру юзать не значит что из проектов сразу выкинут эту поддержку.
Обычно проблемы есть с проктами не слишком популярными и которые слишком интенсивно используют всякие странные АПИ, которые в либре отсутствуют скорее всего по причине того что это старый ненужный мусор.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

43. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:30 
И отдельно про боринг.

Боринг гугль родил только для того чтобы не пустить ГОСТовые алгоритмы в хромиум.
Просто тогда повод подвернулся с мегадырами в опенссл, и они типа как дартаньяны решили всё переписать на модных крестах, заодно дропнув плагины=энджины с гостом и прочими не вошедшими в основной проект алгоритмами.

И прежде чем советовать борринг - вы сами попробуйте с этим недоразумением что то собрать кроме хромиума.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

55. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +1 +/
Сообщение от Аноним (-), 27-Ноя-21, 14:32 
А не много ли ГОСТу чести - из-за него аж форк на кресты переписывать.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 28-Ноя-21, 00:59 
Видимо не много, для гугла переписать на кресты такой проект не представляется затратным.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Стас Михайлов (?), 27-Ноя-21, 21:11 
У вас какой-то личный интерес в том чтобы openssl, с учетом всего с ним случившегося, не был навсегда закопан вместе с его авторами?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +4 +/
Сообщение от Аноним (-), 26-Ноя-21, 10:31 
Как обстоят дела в OpenBSD с монтированием флэшек, зашифрованных в линукс LUKS'ом? Косяков нет? С vfat всё в порядке? NTFS/cp1251 читает, понимает, монтирует? Помню в позапрошлом релизе были с этим проблемы. Есть юзеры опёнка?
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +2 +/
Сообщение от Аноним (8), 26-Ноя-21, 10:39 
Тебе на unixporn )) Там их дохрена
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Аноним (14), 26-Ноя-21, 11:04 
почти все фс'ки не поддерживаются, но вот ntfs через fuse работает
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 26-Ноя-21, 11:29 
> почти все фс'ки не поддерживаются, но вот ntfs через fuse работает

как и exfat

но это было бы еще пол-беды, беда - что сама fuse у них работает из рук вон плохо.
Точнее, она плохо работает с локальными дисками - потому что разработчики под линуксы активно насилуют линуксный буферный кэш (даже не зная о нем - у них просто само все кэшируется), а у bsd такого нет, там каждая fs должна как-то сама себе кэшировать нужное. В случае fuse (которая сама по себе fs не является) - это делать просто некому и негде.

Но есть костылик... добавляющий еще пару контекст-свитчей на каждый блок, но лучше так чем никак.
Правда, его автор сделался вечноживой еще лет десять назад.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +2 +/
Сообщение от Аноним (20), 26-Ноя-21, 11:38 
>NTFS/cp1251

NTFS исполользует UTF-16LE.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Аноним (8), 26-Ноя-21, 10:37 
Ппц, вот это новость... Проэкты опёнка ведь ультра-секурные
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 26-Ноя-21, 10:50 
особено им удался opensmtp!

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (-), 26-Ноя-21, 11:09 
Я так понимаю - это сарказм? ;)
Ладно... ваше отношение к проекту OpenBSD понятно.

А что на счёт двух других?
- FreeBSD?
- NetBSD?
Как вы оцениваете это?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +1 +/
Сообщение от пох. (?), 26-Ноя-21, 11:20 
Трупы смердящие, увы.

То есть разработка ведется в интересах разрабатывающих - пока тем платят деньги разнообразные фонды. Денег мало, поэтому ничего особо фантастического разработано не будет. Идеологов и менеджеров в хорошем смысле тоже давно нет - поэтому йапнуть кулаком по столу и заставить сделать что-то для людей, а не что попроще получается - тоже некому.

И так во всех шва6одко прожектах, "вырвавшихся" на полную свободу без руля и ветрил.

Вон, недавно принесло:
https://www.ixsystems.com/blog/openzfs-3-0-introduced-at-dev.../

а что оно "works as intended" и пул в любой момент может превратиться в тыкву - это даже и не обсуждается - всем похрен. Вишенка на тортике - программа позволяющая хотя бы частично спасать данные с рухнувшей - платная и только под винду(sic!).

Был бы у проекта хозяин поприличнее дельфиксов - очевидно что все эти прожекты надо было бы поставить на мертвую паузу и заставить разработчиков закрывать технические долги, а не ляпать фичи поверх фич. Причем все подобные патчи отбрасывать с обидными комментариями (вот что они как раз умеют). Чтоб неповадно было бросать недоделанную работу.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (21), 26-Ноя-21, 11:53 
> все эти прожекты надо было бы поставить на мертвую паузу и заставить разработчиков закрывать технические долги, а не ляпать фичи поверх фич

Вряд ли после такого проект когда-нибудь оживет.

ZFS и btrfs изначально дизайнили так, чтобы баланс "стабильность-продвинутость" был смещен в сторону продвинутости.

Вполне вероятно, что если начать устранять критичные проблемы, окажется, что надо полностью переделать архитектуру, при этом отвалятся почти все крутые фичи, и получится аналог XFS.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +1 +/
Сообщение от пох. (?), 26-Ноя-21, 12:25 
Прожект прекрасно жил, пока sun обезьянков именно п-дила.

Не думаю что у них вышло бы отмотаться от запроса пострадавшего клиента методом "уничтожь пул и создай заново - нет у нас никаких средств чинить поврежденные пулы, надеемся у тебя был бэкап".

У btrfs, что характерно - такое средство появилось через пару лет, то есть сразу после первоначального этапа. Что неудивительно - орацл тоже п-дит.
А вот когда орацл решил что эта технология нивзлитит и выкинул ее на мороз - тоже начались разброд и шатания и наращивание техдолга ради сиюминутных фич.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от OmniOS IllumOS (?), 26-Ноя-21, 18:39 
Не забывайте, что есть:

https://omnios.org/

https://itsfoss.com/solaris-alternatives/

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 27-Ноя-21, 10:44 
Нету у вас уже ничего.

Объедки со стола карликовых лавочек, доящих пару глупых клиентов, застрявших в блаженных нулевых.
Ничего они разработать неспособны, поддерживать тоже. Бэкпортят фичи вместе с багами и бредом из линукса.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от mikhailnov (ok), 26-Ноя-21, 20:50 
Точно оракл, а не суся?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

48. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от edo (ok), 27-Ноя-21, 03:11 
> ZFS и btrfs изначально дизайнили так, чтобы баланс "стабильность-продвинутость" был смещен в сторону продвинутости.

Про btrfs не скажу, а дизайн zfs как раз явно был направлен на сохранность данных, всё эти cow и merkle tree служат именно тому, чтобы вживую систему в случае сбря можно было откатить в консистентное состояние.
Я уже не говорю про борьбу с silent data corruption, что ещё из мейнстрима умеет определять на каком именно диске в raid5 побились данные? Это заодно закрывает и write hole, кстати.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

53. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 27-Ноя-21, 10:49 
> Про btrfs не скажу, а дизайн zfs как раз явно был направлен на сохранность данных, всё эти cow и
> merkle tree служат именно тому, чтобы вживую систему в случае сбря можно было откатить в
> консистентное состояние.

А на практике даже доступ к журналу транзакций человеческими средствами отсутствует - на тебе zdb и dd, иппись как хочешь, чтобы хотя бы посмотреть какие у этих транзакций вообще номера бывали. Про возможность неразружающего монтирования тем более забудь.

То есть оно недоделано и не будет никогда - пацаны срочна-срочна пилят супервостребованную маркетинговым отделом идею добавления отдельных дисков в vdev (после чего при малейшем сбое отыквливание всех твоих данных как раз гарантировано)

Все для дорогих клиетов - любителей докера в докере под докером прямо на хранилище данных чтоб денег никому не платить. Для которых и трудится iX. Поскольку нормальные СХД производят совсем-совсем другие фирмы. Но те своими наработками с нами не делятся.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:31 
Ага, нету там 100500 странных фич которые в линукс натащили за последние пару лет.
В остальном прекрасно работает, если не хотеть странного или не знать как это сделать самому.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

47. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:40 
А тут вы передёргиваете.
OpenZFS проект не прибитый теперь к одной одинственной ОС, и там что на фре что на линухе все одинаково уже, с одного апстрима забирают.

PS: я бы хотел Hammer из DragonFlyBSD попробовать, кажется интересней ZFS для меня.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

50. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +3 +/
Сообщение от Аноним (-), 27-Ноя-21, 10:16 
> из DragonFlyBSD попробовать, кажется интересней

Хаммер - это довольно специфическая фс, это не вещь в себе (как zfs, или xfs, или ext4). Люди, которые говорят - "портировать бы эту фс в линукс и на этом всё", проявляют в некотором роде дилетантизм. Поскольку ключевой особенностью тут является SwapCache. Для того, чтобы начать пользовать этой фс корректным образом, то потребуется использовать специальный SSD под утилизацию SwapCache. Более того, сама фс предназначен для работы на SSD.

Также использование этой фс на жёстких дисках бессмысленно и даже вредно (довольно комично, что незадачливые юзеры то тут, то там пытаются юзать её на своих жд тазиках). Более того, хаммер __бессмысленна__ на слабых конфигах, последние бенчмарки показывают, что хаммер начинает обгонять другие фс на конфигах рода 128GB+ DDR4 ECC RAM, несколькими high-end процессорами (i5-i9, 32+ ядра), несколькими большими HAMMER2-форматированными M.2/NvMe SSD и 256GB+ SSD, выделенными для SwapCache. То бишь во всех других случаях надо брать другие фс (они покажут себя лучше), особенно когда нет специального SSD под SwapCache.

Одним словом, целевая фс заточена под высокопроизводительные окружения, требует (для раскрытия полного потенциала) большое количество ОЗУ и high-end процессоры. Также требуется SSD (или стак SSD) + специальный SSD, выделенный под SwapCache. Именно так и никак иначе. Если всё вышеописанное для вас недоступно, то использование DragonFlyBSD даёт принципиально __НУЛЕВОЙ ПРОФИТ__. Поэтому надо брать другие фс и не прыгать выше головы.

Так что довольно забавны те юзеры, которые на свои домашние тазики зачем-то ставят DragonFlyBSD и используют неадекватным образом хаммер, не понимая, что эта фс заточена под определённое высокопроизводительное production-окружение и аппаратный сетап (стаки SSD + стаки под SwapCache).

В свете вышеизложенной информации теперь советую зайти куда-нибудь сюда:

https://www.opennet.dev/opennews/art.shtml?num=55120

и почитать комментарии в контексте вышеизложенного. Видно, что у людей явное непонимание целеполагания DragonFlyBSD и задач соответствующих фс. Причём весь этот фарш собирает много плюсиков. А вот яркий пример непонимания:

https://www.opennet.dev/openforum/vsluhforumID3/124192.html#28

Чувак-де, задаётся вопросом, что "Все более менее неиспользуемые программы довольно быстро улетают в своп", явно не понимая, что это основной аспект и архитектурная идея. Далее он вроде бы нащупывает истину: "Вероятно зависимость можно настроить, и вероятно это не всегда даже и минус при наличии оперативки и ssd с умным кешем для него от системы...".

Не нужно настраивать никакую зависимость. Нужно раз и навсегда определить для себя, что такое SwapCache и разобраться с его логикой работы, ориентируясь на стаки под SwapCache из SSD.

"но я на своих медленных жёстких дисках это чувствую особо остро." - очень смешно, конечно. В свете вышеизложенной информации - зачем на ЖД вообще использовать DragonFlyBSD вместе с хаммером?

Очень смешны комментарии и такого рода: "Со временем приорететы сменились и свап с некоторой версии юзается лишь когда все плохо, а не на всякий случай. Это я про дефолты."

Лол.

В итоге целая гора юзеров DragonFlyBSD забивает микроскопом гвозди.

DragonFly's Major Features List:

...

- Supports up to 4 swap devices for paging and up to 55TB (Terabytes) of configured swapspace. Requires 1MB of physical ram per 1GB of configured swap. When multiple swap devices are present, I/O will be interleaved for maximum effectiveness. The paging system is extremely capable under virtually any load conditions, ____particularly when swap is assigned to NVMe storage____ (!!!). Concurrent page-in across available cpus, in particular, works extremely well. Asynchronous page-out. Extended filesystem data caching via the swapcache mechanism can operate as an extended (huge) disk cache if desired, and/or used to increase the apparent total system memory.

...

SWAPCACHE - Managed SSD support

The swapcache(8) feature allows SSD-configured swap to also be used to cache clean filesystem data and meta-data. This feature is carefully managed to maximize the write endurance of the SSD. swapcache(8) is typically used to reduce or remove seek overheads related to managing filesystems with a large number of discrete inodes. DragonFly's swap subsystem also supports much larger than normal swap partitions. 64-bit systems support up to 512G of swap by default.

...

Без адекватного восприятия вышеизложенного - невозможно использовать DragonFlyBSD адекватным образом. К сожалению, некоторые незадачливые юзеры, незнакомые с мат.частью, машут вилами на своих тазиках насилуя свои винты или неправильно составляя аппаратные сетапы, неверно интерпретируя работу подсистемы SwapCache.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 28-Ноя-21, 01:04 
Вы как то сильно упираете в хайлоад, а я её в 2009 году у себя дома на роутере юзал без проблем и помнится даже иксы поднял пока экспериментировал.
На фрю перешёл довольно не сразу, по мере того как понял что в PF меньше плюшек (впрочем я всё равно ничего из них не юзал, вроде) и что порты по меньше и старее.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от пох. (?), 27-Ноя-21, 10:51 
батенька, вы либо крестик либо трусы.
Апстримом является linoops, и да, из него без разбора копипастят весь линуксячий мусор.

Все одинаково плохо, и с надежностью, и с 64x write amplification наверняка уже тоже паритет достигнут.

Была у фряхи уникальная фича, а теперь нету.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

60. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 28-Ноя-21, 01:07 
Вы всё на ФС смотрите.
А плюшки там по прежнему остались: MAC, GEOM, NetGraph.
Последними двумя я активно пользуюсь, под нетграф даже свои ноды накорябал, очень зачотная штука для манипуляций с трафиком.
В целом всё ещё актуальная, хотя наверное после 10г++ и может стать узким местом.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:37 
Часть LibreSSL - LibTLS, отличная надстройка, которая соместима и с опенссл и делает всю чёрную работу типа правильно.
Втащил её в имеющийся легаси проект вместо тамошней родной тлс либы, остался очень доволен в целом, хотя серверная часть мне показалась немного трудно расширяемой.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +2 +/
Сообщение от Аноним (21), 26-Ноя-21, 11:48 
> Ппц, вот это новость... Проэкты опёнка ведь ультра-секурные

Это маркетинг. Нет в них особо ничего хорошего ни в плане безопасности, ни в плане фич.

Просто большинство проектов пилят полтора землекопа (единственное исключение - OpenSSH), и обеспечить сопоставимый с "взрослыми" аналогами набор фич обеспечить не в состоянии. Поэтому делают 5-10%, а про остальное говорят "это НЕБЕЗОПАСНЫЕ фичи, с ними проект ЖИРНЫЙ, и вообще".

Про то, что для написания безопасного кода нужны люди с прямыми руками, и оба таких разработчика опенка заняты в OpenSSH, а остальные - студенты и хоббисты, которые не всегда отличают сишку от перла, стараются не вспоминать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

25. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от пох. (?), 26-Ноя-21, 12:29 
> Просто большинство проектов пилят полтора землекопа (единственное исключение - OpenSSH),

ничуть не исключение - достаточно вспомнить прекрасную историю с "roaming" и remote root из фичи, которая никогда не была даже дописана.
Кто позволил это вмержить в основную ветку и почему ему сразу не дали по рукам с ровно тем же рефреном - "с ним проект жырный" - вопрос риторический.

Очевидно что опять же у прожекта нет управления и любой дорвавшийся до комит-бита др-ит что хочет.
Причем выгребать за  ним некому и некогда, деньги спонсоров сами себя не потратят.


Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от BratishkaErik (ok), 26-Ноя-21, 10:53 
ГнуТЛС же есть
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от пох. (?), 26-Ноя-21, 11:22 
> ГнуТЛС же есть

рекомендую ознакомиться со списком уязвимостей.
Ее не для безопасности делали, а чтоб не это вот ваше, а за шва6одку!

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +1 +/
Сообщение от lockywolf (ok), 27-Ноя-21, 09:17 
Есть же Mozilla NSS.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (27), 26-Ноя-21, 12:45 
Жалко, если Фряха загнётся. Великолепная оська. И слава Богу, что мне с смузидокером, смузирнетесом, всякими аля NoSQL (которые всё же SQL) и прочим аналогичным барахлом сталкиваться не приходится.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от Аноним (21), 26-Ноя-21, 17:33 
Загибается она как раз от недостатка того, что вы называете "смузи" - эффективных серверных технологий, сокращающих количество монотонного ручного труда, в результате чего "бессмузевая" система годится только для небольших и примитивных по архитектуре проектов (типа домашней страницы Васи).
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Анонимemail (38), 26-Ноя-21, 22:12 
Ну почту можно крутить, базы данных, забиксы, файлохранилище, централизированное резервное копирование. Чем не еффективные серв. технологии? Для всего этого смузи не нужно
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:33 
Так не давайте ей загнутся, пользуйтесь сами, репортите баги, пишите патчи, добавляйте порты, делайте пулрегвесты с фиксами и фичами.

Я вот пользуюсь и оно как то само по себе получается, по ходу дела :)

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  –1 +/
Сообщение от пох. (?), 27-Ноя-21, 18:05 
> Так не давайте ей загнутся, пользуйтесь сами, репортите баги, пишите патчи, добавляйте
> порты, делайте пулрегвесты с фиксами и фичами.

ну ведь венда поганая не загибается от того что я ничего этого не делаю?

> Я вот пользуюсь и оно как то само по себе получается, по
> ходу дела :)

а мне вот надоело.


Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 28-Ноя-21, 01:10 
Венде деньги "донатят", никто не запрещает донатить их фре/специалисту и получать сервис.

А мне не надоело, но у меня есть годовая цикличность - в основном я там что то делаю зимой-весной, особенности связанные с увлечениями и семьёй.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +3 +/
Сообщение от Аноним (31), 26-Ноя-21, 14:53 
Тоже набирали разработчиков как в openssl?

"Advantageous, but *not required* are:

    an understanding of Cryptography;
    an ability to write secure code;"

https://www.openssl.org/blog/blog/2021/11/24/hiring-manager-.../

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Аноним (33), 26-Ноя-21, 16:44 
"Игнорирование ошибки". Это явно С/С++ болячка. В языках где принято использовать исключения такое вряд ли возможно.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Онаним (?), 26-Ноя-21, 22:27 
Ды щаз.
try { } catch { /* suppress failure */ }
уже давно норма жизни.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:20 
В обычном си и не под вендой с её SEH?
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Онаним (?), 27-Ноя-21, 10:42 
В обычном си уже есть эксепшны и я что-то пропустил? :D
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 28-Ноя-21, 01:11 
Под вендой помнится были.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Аноним (63), 30-Ноя-21, 15:27 
пропустил
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

40. "Уязвимость в LibreSSL, позволяющая обойти аутентификацию по ..."  +/
Сообщение от Ivan_83 (ok), 27-Ноя-21, 01:20 
Какие нафиг исключения!?
Там нет исключений и не только потому что это обычный С без крестов, но и потому что подразумевается что оно не будет валится от каждого чиха, потому что исключение это дорого.
Скорее всего не проверяли позвращаемое функцией значение.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру