The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"  +/
Сообщение от opennews (?), 02-Окт-25, 10:45 
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования.  OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.5 LTS, 3.4, 3.3, 3.2  и 3.0 LTS продлится до  апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63979

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  –1 +/
Сообщение от Аноним (2), 02-Окт-25, 10:52 
> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера

Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +3 +/
Сообщение от Аноним (11), 02-Окт-25, 12:34 
Никто не обкладывал.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  –1 +/
Сообщение от Аноним (37), 02-Окт-25, 17:48 
> Никто не обкладывал

Неужели опять те самые "ненастоящие сишники"?

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от 12yoexpert (ok), 02-Окт-25, 14:08 
а что, нельзя? раскрой мысль, очень интересно
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

38. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (37), 02-Окт-25, 18:26 
> а что, нельзя?

Можно конечно! Он вроде и не спорил. Не будут же опернетные эксперты врать.

Но вопрос "что же пошло не так" остается открытым. Видимо, OpenSSL пишут какие-то бракоделы, которые не обложили бы санитайзерами.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  –3 +/
Сообщение от Аноним (24), 02-Окт-25, 15:00 
> Что-то пошло не так?

То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (25), 02-Окт-25, 15:05 
Настоящий сишник что сферический конь, бывает только в вакууме
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (26), 02-Окт-25, 15:09 
Никто и не обкладывал.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +1 +/
Сообщение от Аноним (3), 02-Окт-25, 11:23 
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +3 +/
Сообщение от Аноним (-), 02-Окт-25, 11:30 
kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {

Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))

А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +3 +/
Сообщение от Аноним (9), 02-Окт-25, 11:50 
Ты же не думаешь, что это случайно.
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (16), 02-Окт-25, 13:54 
> Ты же не думаешь, что это случайно.

Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (-), 02-Окт-25, 14:08 
Тут вопрос скорее в другом.
У опенССЛьки есть спонсоры [1]
Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2])

Им вообще норм, что бракоделы овнячат бекдоры?
Или они просто "в доле")

[1] openssl-foundation.org/about/sponsors/
[2] openssl-foundation.org/donate/premier/

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

27. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (9), 02-Окт-25, 16:17 
Все понимают, в чьих интересах. Возможности отказаться у них нет.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (29), 02-Окт-25, 16:47 
Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
но пользоваться ей большинство не хотят...
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +1 +/
Сообщение от Аноним (-), 02-Окт-25, 16:51 
> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.

А толку?
"Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD."
Дыры те же.

Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором  +1 +/
Сообщение от Аноним (37), 02-Окт-25, 19:02 
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

40. Скрыто модератором  –1 +/
Сообщение от Аноним (9), 02-Окт-25, 19:21 
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  +/
Сообщение от Аноним (-), 02-Окт-25, 19:28 
Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором  +/
Сообщение от Аноним (9), 02-Окт-25, 19:40 
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (14), 02-Окт-25, 13:12 
Сама по себе эта конструкция уже хороша:

(size_t)(tmp[0] - 4))

Но это в той части, которой никто не пользуется и компиляцию которой вырубают.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

44. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (44), 02-Окт-25, 23:46 
Почему вообще арифметика указателей и операций с size_t с применением числовых констант не запрещена статическими анализаторами? Им мало примера Adobe Flash, который на 64-битную архитектуру портировать не смогли? Сегодня там int32, а завтра int64 или вообще структура неопределённого размера. И такие изменения фиг отследишь поскольку константа это просто число и никакой тревоги компилятора она не вызовет.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  –1 +/
Сообщение от Аноним (33), 02-Окт-25, 16:59 
> ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера!

это как раз те которые говорят, что им математика не нужна!

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +1 +/
Сообщение от Аноним (10), 02-Окт-25, 12:01 
>  в реализации встроенного HTTP-клиента

зачем HTTP клиент-то встраивать?

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +2 +/
Сообщение от oauth отстой (?), 02-Окт-25, 13:11 
может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от OpenEcho (?), 02-Окт-25, 13:54 
Official:
> It's intended for testing purposes only

Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

34. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (33), 02-Окт-25, 17:00 
так он ведь для тестов, а не продакшена.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +1 +/
Сообщение от OpenEcho (?), 02-Окт-25, 13:48 
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS

Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (33), 02-Окт-25, 16:55 
> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные.

чтобы легче искать в памяти?

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  –1 +/
Сообщение от Анонимусс (-), 02-Окт-25, 16:56 
> требуется компилятор, совместимый со стандартом C-99

Получается что они прям застряли в 90х
Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны.

Ради чего они продолжают хвататься за этот копролит?
Даже ядро переехало на более новую версию языка!

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Oldiemail (?), 02-Окт-25, 17:08 
Расчет ядра так себе аргумент
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Анонимусс (-), 02-Окт-25, 17:28 
> Расчет ядра так себе аргумент

Почему?
Ядро сложнее чем эта либа.
Ядро работает на куче платформ, в том числе некроплатформ.
Почему они должны использоваться именно с99?

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."  +/
Сообщение от Аноним (45), 03-Окт-25, 00:43 
> Ради чего они продолжают хвататься за этот копролит?

Действующие системы. В которых нет компиляторов с новым стандартом.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру