The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от opennews (??), 25-Авг-21, 21:05 
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55683

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Авг-21, 21:05   –5 +/
Когда на Golang перепишут?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #17

3. Сообщение от Аноним (3), 25-Авг-21, 21:10   +/
Молодцы что исправили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

4. Сообщение от Rev (?), 25-Авг-21, 21:11   –3 +/
Чтобы весило 100МБ? На Расте надо писать, там за границу памяти нельзя будет вылезти. (Если писать не жопой).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #6

5. Сообщение от Аноним (1), 25-Авг-21, 21:15   –2 +/
Да зачем, в голанге же можно экономно память выделять, если ушами не хлопать. Да и удобный профилировщик есть, еси что
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

6. Сообщение от Ольбертович (?), 25-Авг-21, 21:20   +2 +/
Зачем он нужон, этот раст? Очередной 'нескучный' frontend под llvm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13

7. Сообщение от Хан (?), 25-Авг-21, 21:25   +2 +/
Растоманы гошников покусали чтоли, что и эти все собрались переписывать? Или это крипторастаман прячущийся за Go?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним (8), 25-Авг-21, 21:29   +4 +/
> Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.

Ну вообще то они её и нашли, уязвимость эту:

"An initial instance of this issue in the X509_aux_print() function was reported
to OpenSSL on 18th July 2021 by Ingo Schwarze. The bugfix was developed by Ingo
Schwarze and first publicly released in OpenBSD-current on 10th July 2021 and
subsequently in OpenSSL on 20th July 2021 (commit d9d838ddc). Subsequent
analysis by David Benjamin on 17th August 2021 identified more instances of the
same bug. Additional analysis was performed by Matt Caswell. Fixes for the
additional instances of this issue were developed by Matt Caswell."

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

9. Сообщение от анонии (?), 25-Авг-21, 21:30   –1 +/
ловим флэшбеки с heartbleed
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

10. Сообщение от Аноним (8), 25-Авг-21, 21:36   +/
А SM2 там пока и нет: https://github.com/libressl-portable/portable/issues/636
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 25-Авг-21, 22:05   +1 +/
Парой переполнений больше, парой меньше - никто и не заметит, главное поигрались с void*****.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

12. Сообщение от Alladin (?), 25-Авг-21, 22:07   +1 +/
В GoLang экономно память, с GC?)) С вами все хорошо?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18

13. Сообщение от Alladin (?), 25-Авг-21, 22:08   +/
Ок, я тоже так напишу.
C++ это нескучный фронтенд к GC/LLVM.
А Java это нескучный фронтенд к JVM:)))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #20

14. Сообщение от Аноним (-), 25-Авг-21, 22:14   +3 +/
Heartbleed гораздо опаснее и позволяла извлечь гораздо больше полезной информации из сайтов, так что без флэшбеков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (15), 25-Авг-21, 22:34   –1 +/
>переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера.

Сами навязали своё говно бизнесу и населению вместо AES и CHACHA, сами же и огребли.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (-), 25-Авг-21, 22:46   +2 +/
Уязвимость в

> коде с реализацией криптографического алгоритма

, так что виноваты тут только разработчики OpenSSL. А так не поспоришь, почти у каждого есть своя криптография, каждый надеется, что она хороша и почти у каждого она оказывается никудышна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #35

17. Сообщение от Аноним (17), 25-Авг-21, 22:57   –3 +/
> Когда на Golang перепишут?

зачем вам этот тяжёлый Голанг? Перепишите на Паскале. Там массив переполнить нельзя, нам учительница говорила.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

18. Сообщение от Аноним (1), 25-Авг-21, 23:31   +/
Так ну просто не создавать лишних данных и всё. А ГЦ - ГЦ это к тому, что подчищает сам, но причем здесь повышенный расход?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

19. Сообщение от Аноним (1), 25-Авг-21, 23:31   +1 +/
Что тяжелого-то, голанг легковесный язык, пусть и с ГЦ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от Ольбертович (?), 26-Авг-21, 02:09   +3 +/
Драсте, g++ от llvm не зависит, ибо сам компилятор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Аноним (21), 26-Авг-21, 02:29   +2 +/
Гораздо сложнее не допускать, чем по пути исправлять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

22. Сообщение от Рач (?), 26-Авг-21, 02:46   +1 +/
КНР молодцы, открыли дыру для мировых спецслужб.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

23. Сообщение от Аноним (23), 26-Авг-21, 06:25   +3 +/
Ничего кетайцы не открывали, просто первыми заметили и тихой сапой использовали дыру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Брат Анон (ok), 26-Авг-21, 09:23   –1 +/
Пользуйтесь проверенной криптографией, говорили они. Безопасно на 146%, мы вам гарантируем это, говорили они.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (3), 26-Авг-21, 10:52   +/
Ре-shit-о :(
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от PnD (??), 26-Авг-21, 11:27   +/
И как вы предлагаете получать колбэки/разбирать структуры в "чистых" сях?
Разумеется, можно наделать "прокладок" и их стабилизировать. Но тут уж на выбор:
* Выжимаем всё до такта — получаем вот это с регулярными камингаутами^w выходами за границы и т.п. null dereference/double free. Пример: большинство библиотек (тормознутые почему-то не популярны). Knot, unbound (как примеры наличия способов писать достаточно чистый код без массовых "памперсов", но "дорого").

* Пишем фреймворк (берём чей-то) и заставляем всех в проекте им пользоваться. Поверхность атаки сокращается в разы, но всё ещё можно налажать во внутренней логике, умножаем лажу на мощь сей как продвинутого кроссассемблера. И да, разумеется результат медленнее (насколько-то). Пример: asterisk (как бы к нему не относились, там этот подход достаточно рельефно реализован). SSSD (трэш и угар, но таки тоже натянуто на фреймворк).

* Выносим всё что можно изолировать наружу и кодим на ЯП со встроенными защитами/гарантиями. Теряем в производительности/скорости разработки в зависимости от способа реализации гарантий. В прикладном софте это обычно совершенно оправдано. Проблемы начинаются при попытках потеснее работать с системными обвязками. Когда "слева" к вам приезжает не пойми что (к примеру, то ли ipv4 то ли ipv6 и там где-то в конце указатель на следующий элемент списка), а "справа" pascal|ada (к примеру, "хайповые" ЯП в той же лодке), то это таки "ой". И не разбираясь досконально в сишной "кухне" (а откуда, вы на этом изначально сэкономили, завязавшись на "прикладной" ЯП) что-то тут сделать очень непросто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (31), 26-Авг-21, 14:42   +/
Не знаю, что они там правили, но после обновления у меня завязанное ПО на этом УГ перестало работать.
Пришлось выключать и включать пк, помогло.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (32), 26-Авг-21, 15:54   +/
Ну если взглянуть на историю создания и мир из которого пришел openssl то ничего удивительного.

Но молодцы хоть исправили.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

33. Сообщение от Аноним (-), 26-Авг-21, 17:04   +/
> Ну если взглянуть на
> мир из которого пришел openssl

Инопланетный камрад, OpenSSL был создан людьми на платформе Земля. Пока это малоразвитая цивилизация, которая даже на Rust с ошибками пишет, а чего вы хотите здесь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #34

34. Сообщение от Онаним (?), 26-Авг-21, 21:32   +1 +/
Пока это малоразвитая цивилизация, которая даже Rust с ошибками пишет

Fixed

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

35. Сообщение от Аноним (35), 27-Авг-21, 03:45   +/
Да нет, чаще она всё-таки оказывается хороша
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру