| 1.8, Аноним (8), 21:29, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.
Ну вообще то они её и нашли, уязвимость эту:
"An initial instance of this issue in the X509_aux_print() function was reported
to OpenSSL on 18th July 2021 by Ingo Schwarze. The bugfix was developed by Ingo
Schwarze and first publicly released in OpenBSD-current on 10th July 2021 and
subsequently in OpenSSL on 20th July 2021 (commit d9d838ddc). Subsequent
analysis by David Benjamin on 17th August 2021 identified more instances of the
same bug. Additional analysis was performed by Matt Caswell. Fixes for the
additional instances of this issue were developed by Matt Caswell."
| | |
| |
| 2.14, Аноним (-), 22:14, 25/08/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Heartbleed гораздо опаснее и позволяла извлечь гораздо больше полезной информации из сайтов, так что без флэшбеков.
| | |
|
| 1.11, Аноним (11), 22:05, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Парой переполнений больше, парой меньше - никто и не заметит, главное поигрались с void*****.
| | |
| |
| 2.30, PnD (??), 11:27, 26/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
И как вы предлагаете получать колбэки/разбирать структуры в "чистых" сях?
Разумеется, можно наделать "прокладок" и их стабилизировать. Но тут уж на выбор:
* Выжимаем всё до такта — получаем вот это с регулярными камингаутами^w выходами за границы и т.п. null dereference/double free. Пример: большинство библиотек (тормознутые почему-то не популярны). Knot, unbound (как примеры наличия способов писать достаточно чистый код без массовых "памперсов", но "дорого").
* Пишем фреймворк (берём чей-то) и заставляем всех в проекте им пользоваться. Поверхность атаки сокращается в разы, но всё ещё можно налажать во внутренней логике, умножаем лажу на мощь сей как продвинутого кроссассемблера. И да, разумеется результат медленнее (насколько-то). Пример: asterisk (как бы к нему не относились, там этот подход достаточно рельефно реализован). SSSD (трэш и угар, но таки тоже натянуто на фреймворк).
* Выносим всё что можно изолировать наружу и кодим на ЯП со встроенными защитами/гарантиями. Теряем в производительности/скорости разработки в зависимости от способа реализации гарантий. В прикладном софте это обычно совершенно оправдано. Проблемы начинаются при попытках потеснее работать с системными обвязками. Когда "слева" к вам приезжает не пойми что (к примеру, то ли ipv4 то ли ipv6 и там где-то в конце указатель на следующий элемент списка), а "справа" pascal|ada (к примеру, "хайповые" ЯП в той же лодке), то это таки "ой". И не разбираясь досконально в сишной "кухне" (а откуда, вы на этом изначально сэкономили, завязавшись на "прикладной" ЯП) что-то тут сделать очень непросто.
| | |
|
| 1.15, Аноним (15), 22:34, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера.
Сами навязали своё говно бизнесу и населению вместо AES и CHACHA, сами же и огребли.
| | |
| |
| 2.16, Аноним (-), 22:46, 25/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Уязвимость в
> коде с реализацией криптографического алгоритма
, так что виноваты тут только разработчики OpenSSL. А так не поспоришь, почти у каждого есть своя криптография, каждый надеется, что она хороша и почти у каждого она оказывается никудышна.
| | |
|
| |
| 2.23, Аноним (23), 06:25, 26/08/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ничего кетайцы не открывали, просто первыми заметили и тихой сапой использовали дыру.
| | |
|
| 1.26, Брат Анон (ok), 09:23, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Пользуйтесь проверенной криптографией, говорили они. Безопасно на 146%, мы вам гарантируем это, говорили они.
| | |
| 1.31, Аноним (31), 14:42, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не знаю, что они там правили, но после обновления у меня завязанное ПО на этом УГ перестало работать.
Пришлось выключать и включать пк, помогло.
| | |
| 1.32, Аноним (32), 15:54, 26/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Ну если взглянуть на историю создания и мир из которого пришел openssl то ничего удивительного.
Но молодцы хоть исправили.
| | |
| |
| 2.33, Аноним (-), 17:04, 26/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Ну если взглянуть на
> мир из которого пришел openssl
Инопланетный камрад, OpenSSL был создан людьми на платформе Земля. Пока это малоразвитая цивилизация, которая даже на Rust с ошибками пишет, а чего вы хотите здесь?
| | |
| |
| 3.34, Онаним (?), 21:32, 26/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Пока это малоразвитая цивилизация, которая даже Rust с ошибками пишет
Fixed
| | |
|
|
|
