В криптографической библиотеке OpenSSL выявлена уязвимость (CVE пока не назначен), при помощи которой удалённый атакующий может повредить содержимое памяти процесса через отправку специальной оформленных данных в момент установки TLS-соединения. Пока не ясно, может ли проблема привести к выполнению кода атакующего и утечке данных из памяти процесса, или она ограничивается только аварийным завершением работы...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57415

• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,QwertyReg, 22:28 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 01:31 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Fracta1L, 07:49 , 28-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 08:54 , 28-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 16:40 , 28-Июн-22
        • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Анонн, 19:28 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 19:31 , 28-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:05 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:30 , 27-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:31 , 27-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:51 , 27-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:53 , 27-Июн-22
        • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 00:15 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:55 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,кубрик, 23:39 , 27-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:16 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,ИмяХ, 23:23 , 27-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:39 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 00:18 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 01:32 , 28-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 02:32 , 28-Июн-22
        • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 08:57 , 28-Июн-22
          • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 12:58 , 28-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:36 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:51 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Ан, 17:06 , 28-Июн-22
  • Альтернатива,qweo, 07:23 , 05-Июл-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,nuclight, 12:15 , 16-Июл-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 23:49 , 27-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Корец, 00:02 , 28-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Брат Анон, 07:33 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Ooiiii, 08:59 , 28-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 10:56 , 28-Июн-22
        • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Брат Анон, 09:15 , 29-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 00:48 , 28-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Kuromi, 01:36 , 28-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 09:24 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 10:55 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 13:09 , 28-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Kuromi, 17:00 , 28-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 15:35 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 02:37 , 29-Июн-22
      • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 04:14 , 29-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 17:02 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,microsoft, 21:02 , 28-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,USD, 11:43 , 28-Июн-22
  • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Анонним, 19:29 , 28-Июн-22
    • Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Анонним, 19:30 , 28-Июн-22
• Уязвимость в OpenSSL 3.0.4, приводящая к удалённому поврежде...,Аноним, 14:36 , 30-Июн-22

> исправлением
>     OPENSSL_cleanse(storage, sizeof(storage));
>    OPENSSL_cleanse(tmp, sizeof(tmp));

Сишное переполнение?! Как неожиданно!

Я бы скорее сказал "openssl-щики опять нагамнокодили". При том как видим - только они. С очередным "улучшением" их чудной высококачественной либы.

И поверьте, качество и компетентность кодеров этой гадости лезет не только в этом. Эти утырки при запросе хардварной акселерации напрямую RNG проца выгружают, codename фичи, очевидно, "NSA FTW". И это типа не баг у них. Более того, они и чисто логические баги зачотные фигачили, типа проехавшей валидации с ... абсолютно левым ключом. И от этого никакой хруст или что там еще не поможет. В общем вон тем господам противопоказано своими лапками крипто трогать.

> При том как видим - только они

Действительно, в других сишных прогах же не бывает дыр из-за переполнения 😆

С другой стороны, у конкретно openssl'щиков такой ассортимент ситостроения, что переполнения там лишь одна из многочисленных проблем. И даже если от нее отделаться, это не сильно поможет данным господам. В последнее время, кстати, переполнения у них довольно редко бывают. Не мешает патчам на эту гамнолибу стабильно валиться минмум раз в месяц с дюжинами других CVE всех мастей и направлений.

p.s. а ты можешь уже морально готовиться канпилять хруст при сборен ядра, "девочка имела счастье" :)))

Действительно в растовых прогах дыр же не бывает.  

Ну да, про кого еще вспомнить когда сишники обoс##лись

Угу, а до этого нагамнокодили писаЙтели ядра, а до них BFS, а до них zip, а до них... да тут каждую неделю кто в очередной раз не сумел в работу с памятью
Развелось гамнакодеров!

>ошибки в коде, в результате которого может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.

HeartBleed 2.0?

3 нигде не используется ещё. Предусмотрительно сломали совместимость, молодцы.

Кстати, меньше чем за неделю нашли?

В последнем релизе Ubuntu OpenSSL 3.0.2.

Софт-то не жалуется? https://bugs.gentoo.org/797325

Посмотрел несколько ошибок, фиксятся тривиально. На "сломали совместимость" всё-таки не тянет, просто удалили несколько депрекейтнутых функций или дефайнов. Например, относящихся к SSL 2.0. Некоторые ошибки - попытка неправильно вызывать новые функции OpenSSL 3, с неправильным количеством параметров. В Убунте эти ошибки не проявляются. Либо мейнтейнеры пофиксили, либо апстрим. В Генте, получается, проявляются, ибо софт собирается на машине пользователя.

> Предусмотрительно сломали совместимость, молодцы.

Тут ты зря. Много чего deprecated, но все ещё работает.

Нет. Прикинь. Ниразу не сишное.

>некорректным исправлением ошибки в коде

Как-же уже ДОСТАЛИ эти коновалы из openssl! Они умеют только несовместимо менять API каждые 2 года

Учись постоянно, и тогда мозги у тебя будут всегда нормальные.

>Учись постоянно, и тогда мозги у тебя будут всегда нормальные.

Каждые 2 года менять расположение педалей и приборов в автомобиле для поддержания мозгового тонуса. Нормально? Ну-ну...

Почему несовместимо? SSL_connect() всё с теми же параметрами вызывается.

А теперь попробуй какую-то реалистичную программу без патчинга собрать, тогда и узнаешь почему. При том ладно б апи вменяемее стал, но ведь как был полный булшит так и остался.

Ну вот Apache собирается c OpenSSL 3. Без патчинга, да. Достаточно реалистичная программа?

Можешь сказать, какие *важные* API в OpenSSL 3 несовместимо поменяли? Я тебе привёл пример довольно важного API, SSL_connect(), которое не поменяли. Приведи тоже пример важного API, которое поменяли, при чём несовместимо.

Он без патчинга собирается только потому что патчинг его кодеры вместо вас отпедалили. А еще, только подумайте, булки не растут на деревьях.

Ещё раз для специалистов по булкам. Apache с офсайта, вот этот файл: https://dlcdn.apache.org/httpd/httpd-2.4.54.tar.gz, собирается с OpenSSL 3 без патчей.

И как там насчёт конкретики? Какие *важные* API в OpenSSL 3 несовместимо поменяли? Я привёл пример довольно важного API, SSL_connect(), которое не поменяли. Приведи тоже пример важного API, которое поменяли, при чём несовместимо.

Главная беда: у openssl нет альтернатив.
GnuTLS - ожирел до невозможности, плюс куча внешних зависимостей. NSS - не менее монструозен и похоже умирает потихоньку. LibreSSL (а какая классная идея была!) - остается маргинальным и тоже умирает (потеряли титульного спонсора). Остальная братия еще более маргинальная

А в чём беда? Прекрасная либа, все программы на свете, кроме разве что браузеров, пользуются именно ей. Браузеры пользуются её форками.

Последний релиз либра был месяц назад, в Фонд опёнка Гугл, Мета и Майкрософт башляют стабильно, так  что непонятны опасения: https://www.openbsdfoundation.org/contributors.html

BearSSL хороша. Минималистична, и устойчива к timing-based атакам.

Дело за малым - склепать замену для TLS.

> OpenSSL version 3.0.4, released on June 21th 2022, is susceptible to remote memory corruption which can be triggered trivially by an attacker. BoringSSL, LibreSSL and the OpenSSL 1.1.1 branch are not affected. Furthermore, only x64 systems with AVX512 support are affected. The bug is fixed in the repository but a new release is still pending.

Затронуло 0 человек.

Всем спать.

// b.

>Всем спать.

Споки.

Ни фига ты не Нео. Спи спокойно, бро.

Ни фига ты не Нео, Карл

Какой же это Карл на аватарку посмотрим это Владимир.  

> Какой же это Карл на аватарку посмотрим это Владимир.

Угу. Вот и выросло поколение, которое не отличает Карла от Владимира Марксовича.

> в момент установки TLS-соединения

TLS/SSL - это гнилой перераздутый изменчивый стандарт, дырень для корпораций и майёра.

Поэтому нужно использовать только базовые функции OpenSSL (хэширование и шифрование), в них пока не находили гадостей.

Забавно, только на днях на Форониксе все хвалили AVX512 из-за того что он позволяет парсить JSON  со скоростью гигабайты в секунду и всех в комментах посылали купить проц с AVX512,а  тут рраз и упс...
Проблема конечно не в инструкции, но...

но..?

но!

...но осадочек остался.

> ...но осадочек остался.

Не осадочек, но понимание что разрабы еще не очень умеют с ней нормально работать. Вероятные ништяки нивелируются вот такими невероятными косяками.

> AVX512

Абсолютное ненужно, по крайней мере в ближайшие лет 10.

Ну раз аноним на опеннете сказал "не нужно", значит и правда не нужно.

Опенсорсное сообщество само по себе очень консервативное и "не нужно" оправдано в 90% случаев.

Т.е., как это вещественные векторы помогают парсить тексториентированне файлы?

Тайна покрытая мраком.

говорил же григри на своем конале что все новое это баги и уязвимости , кто то просто продолжает начатое изломление в угоду маикам как же он четко все разложил

Насколько новое? Я видел тему от года вроде 2015 почему OpenH264 использует инструкции MMX, а не новые. Нати не могу. Помню так. Ответ мне не нужен. Это призадуматся.

А я не знаю почму они использовали ММX только предположение.

Удобная программа для передачи данных пользователя через интернет?