форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
Сообщение от opennews (??) on 10-Ноя-16, 22:39
Опубликован (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...) корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2016-Nove...), среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 (https://security-tracker.debian.org/tracker/CVE-2016-7054) присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0. URL: https://mta.openssl.org/pipermail/openssl-announce/2016-Nove... Новость: http://www.opennet.ru/opennews/art.shtml?num=45472
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–9 +/–
Сообщение от Аноним (??) on 10-Ноя-16, 22:39
Криптомакаки из OpenSSL не исправились даже после доната их крупными конторами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–3 +/–
	Сообщение от Аноним (??) on 11-Ноя-16, 00:39
	Так, блин, понаделали аудита а макаки еще кода написать успели. И опять с багами. Да, это вам не DJB...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	14. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+1 +/–
	Сообщение от Аноним (??) on 11-Ноя-16, 02:05
	> https://www.peereboom.us/assl/assl/html/openssl.html поколение биберов минусует. The certificate expired on 10/23/2016 01:51 AM. HTTPS FAIL.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+2 +/–
Сообщение от Аноним (??) on 10-Ноя-16, 22:49
Как nginx c libressl собрать или не надо этого делать чтобы вместо чудес страны дыр использовать что-то нормальное да к тому же и свободное?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+1 +/–
	Сообщение от Онанон on 10-Ноя-16, 23:11
	https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=nginx... Примерно вот так.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–2 +/–
Сообщение от Аноним (??) on 10-Ноя-16, 23:15
Мыши плакали кололись, но продолжали OpenSSL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
Сообщение от Аноним (??) on 10-Ноя-16, 23:21
Ппц, а просто взять эталонную реализацию религия не позволяет, ага
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
	Сообщение от Онанон on 10-Ноя-16, 23:23
	> Ппц, а просто взять эталонную реализацию религия не позволяет, ага Вот да. Из nacl, libsodium или, банально, libressl можно было тупо скопипастить и не выпендриваться.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–1 +/–
	Сообщение от Аноним (??) on 11-Ноя-16, 00:40
	> Ппц, а просто взять эталонную реализацию религия не позволяет, ага Хочется же ощутить себя круче DJB. Ну вот и ощутили. В дыростроении они намного круче.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
Сообщение от Аноним (??) on 10-Ноя-16, 23:23
% wget -qO- https://cr.yp.to/streamciphers/timings/estreambench/submissi... | wc -l 114 Серьёзно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
	Сообщение от Аноним (??) on 11-Ноя-16, 00:46
	> 114 > Серьёзно? Это DJB, чувак! У меня 25519 + poly1305 + salsa20 из tweetnacl'а уместились в ТРИ КИЛОБАЙТА кода Cortex M. И я теперь на тощем микроконтроллере и то с публичным крипто. Ну что, openssl, крипто то надо было делать вот так...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
Сообщение от Crazy Alex (ok) on 10-Ноя-16, 23:44
Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка с изменившимся API, которой полугода нет. Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–1 +/–
	Сообщение от Аноним (??) on 11-Ноя-16, 00:49
	> Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка > с изменившимся API, которой полугода нет. Не уверен, что ей вообще > хоть какой-то серьйзный софт пользуется. Тем кто openssl пишет лучше на завалинке сидеть. Нет, рассаду выращивать я им ссыкую предлагать - от мутантов заманаешься отмахиваться потом при их отношении к делу.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	15. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
	Сообщение от anonymous (??) on 11-Ноя-16, 09:38
	>Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется. Еще не успели портировать
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
Сообщение от Аноним (??) on 11-Ноя-16, 12:33
> Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305" КАК?! Как они умудрились ошибку там сделать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+2 +/–
Сообщение от Аноним (??) on 11-Ноя-16, 16:35
Я смотрю, в комментах собрались всемирно признанные программеры-криптографы, не совершающие ошибок. Я прям аж смутился в такой компании...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–1 +/–
	Сообщение от Аноним (??) on 11-Ноя-16, 18:43
	Знаешь, есть такая хорошая поговорка: не умеешь - не берись. Знаешь, я могу и не быть экспертом проектирования автомобилей чтобы быть недовольным результатом краштестов некоторых китайцев и обходить такие продукты стороной. Ну так вот: результаты краштестов openssl - неудовлетворительные. Более того - посадить vuln в трех строках кода, который годами у людей работал без приключений - это вообще EPIC FAIL. Особенно в штуке которая априори ворочает внешние данные из сети.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	21. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	–1 +/–
	Сообщение от Фкук on 12-Ноя-16, 14:30
	> vuln в трех строках кода, который годами у людей работал без > приключений - это вообще EPIC FAIL. Особенно в штуке которая априори > ворочает внешние данные из сети. Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "Обновление OpenSSL 1.1.0c с устранением уязвимости в реализа..."	+/–
	Сообщение от Аноним (??) on 15-Ноя-16, 03:15
	> Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста. Там на всю либу один комментарий. И он такой что модераторы его снесли. Надеюсь знание этого факта дает исчерпывающее представление о качестве либы, ее API и проч.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема