| 1.2, Аноним (2), 10:52, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера
Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?
| | |
| |
| |
| 3.37, Аноним (37), 17:48, 02/10/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Никто не обкладывал
Неужели опять те самые "ненастоящие сишники"?
| | |
|
| |
| 3.38, Аноним (37), 18:26, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а что, нельзя?
Можно конечно! Он вроде и не спорил. Не будут же опернетные эксперты врать.
Но вопрос "что же пошло не так" остается открытым. Видимо, OpenSSL пишут какие-то бракоделы, которые не обложили бы санитайзерами.
| | |
|
| 2.24, Аноним (24), 15:00, 02/10/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Что-то пошло не так?
То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.
| | |
|
| 1.3, Аноним (3), 11:23, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
| | |
| 1.5, Аноним (-), 11:30, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {
Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))
А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))
| | |
| |
| |
| 3.16, Аноним (16), 13:54, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты же не думаешь, что это случайно.
Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...
| | |
| 3.21, Аноним (-), 14:08, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тут вопрос скорее в другом.
У опенССЛьки есть спонсоры [1]
Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2])
Им вообще норм, что бракоделы овнячат бекдоры?
Или они просто "в доле")
[1] openssl-foundation.org/about/sponsors/
[2] openssl-foundation.org/donate/premier/
| | |
| |
| 4.27, Аноним (9), 16:17, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Все понимают, в чьих интересах. Возможности отказаться у них нет.
| | |
| |
| 5.29, Аноним (29), 16:47, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
но пользоваться ей большинство не хотят...
| | |
| |
| 6.30, Аноним (-), 16:51, 02/10/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
А толку?
"Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD."
Дыры те же.
| | |
|
|
|
|
| 2.14, Аноним (14), 13:12, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Сама по себе эта конструкция уже хороша:
(size_t)(tmp[0] - 4))
Но это в той части, которой никто не пользуется и компиляцию которой вырубают.
| | |
| |
| 3.44, Аноним (44), 23:46, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Почему вообще арифметика указателей и операций с size_t с применением числовых констант не запрещена статическими анализаторами? Им мало примера Adobe Flash, который на 64-битную архитектуру портировать не смогли? Сегодня там int32, а завтра int64 или вообще структура неопределённого размера. И такие изменения фиг отследишь поскольку константа это просто число и никакой тревоги компилятора она не вызовет.
| | |
|
| 2.33, Аноним (33), 16:59, 02/10/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера!
это как раз те которые говорят, что им математика не нужна!
| | |
|
| 1.10, Аноним (10), 12:01, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> в реализации встроенного HTTP-клиента
зачем HTTP клиент-то встраивать?
| | |
| |
| 2.17, OpenEcho (?), 13:54, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Official:
> It's intended for testing purposes only
Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов
| | |
|
| 1.15, OpenEcho (?), 13:48, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS
Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось
| | |
| 1.31, Аноним (33), 16:55, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные.
чтобы легче искать в памяти?
| | |
| 1.32, Анонимусс (-), 16:56, 02/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> требуется компилятор, совместимый со стандартом C-99
Получается что они прям застряли в 90х
Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны.
Ради чего они продолжают хвататься за этот копролит?
Даже ядро переехало на более новую версию языка!
| | |
| |
| |
| 3.36, Анонимусс (-), 17:28, 02/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Расчет ядра так себе аргумент
Почему?
Ядро сложнее чем эта либа.
Ядро работает на куче платформ, в том числе некроплатформ.
Почему они должны использоваться именно с99?
| | |
|
| 2.45, Аноним (45), 00:43, 03/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ради чего они продолжают хвататься за этот копролит?
Действующие системы. В которых нет компиляторов с новым стандартом.
| | |
|
|
