The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости"  +/
Сообщение от opennews (??), 10-Дек-20, 09:40 
Сформированы корректирующие выпуски криптографических библиотек OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5, в которых устранена уязвимость  (CVE-2020-1971) в обработчике структур ASN.1. Проблема позволяет инициировать крах клиентского или серверного приложения, использующего OpenSSL или LibreSSL, при обработке специально оформленных сертификатов и списков отозванных сертификатов (CRL)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54233

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +4 +/
Сообщение от Аноним (1), 10-Дек-20, 09:40 
... и в старых вёдрах её никто не пофиксит. Пересборка же библиотеки и подмена её в системе приводит к неработоспособности системы (бутлуп), видимо потому, что JNI-библиотека намертво с ней слинкована (аналогичная ситуация с SQLite, хотя, казалось бы, что у SQLite очень стабильное API). Единственный выход - пересобрать систему в целом. Гугл за благополучие своих партнёров, а через них - и гугла, всех нас поимел.
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +6 +/
Сообщение от YetAnotherOnanym (ok), 10-Дек-20, 11:54 
> JNI-библиотека

Если ты про Андроед, то всем, у кого есть голова на плечах, давным-давно понятно, что и Гуглу, и производителям смартфонов накласть на пользователей.

Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +2 +/
Сообщение от Аноним (7), 10-Дек-20, 15:48 
Я тебе больше скажу: всем на всех накласть.
Тебе на меня накласть, мне на тебя накласть.
Поэтому какбы так себе аргумент про людей с головой на плечах...
Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 10-Дек-20, 15:55 
> всем на всех накласть

Во-первых, как всегда, отучаемся говорить за всех.
> мне на тебя накласть

Во-вторых, было бы накласть - не тратил бы время на ответ.

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +2 +/
Сообщение от Аноним (9), 10-Дек-20, 16:42 
Ну кого вы обманываете, он ведь прав :)

И на ответ время тратится исключительно для собственного удовлетворения и уж никак не для того чтобы кому-то нанести добро.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +1 +/
Сообщение от ананим.orig (?), 10-Дек-20, 19:13 
Враньё и лукавство.
Лично я искренне пытаюсь помочь (и в коментах, и в патчах) пока не появляется такой как вы.
Собсно опеннет в частности (и опенсорс вообще) именно об этом.
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –1 +/
Сообщение от Аноним (12), 10-Дек-20, 20:08 
У меня huawei, вчера пришло обновление безопасности. Смарту года 3.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –1 +/
Сообщение от Аноним (14), 10-Дек-20, 23:28 
У меня Redmi 5 Обновление пришло год назад, но не обновляюсь специально, потому что они постоянно ломают всё и замедляют
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от kmeaw (?), 13-Дек-20, 07:55 
Некоторые обновления содержат новые настройки для клиента обновлений. Поэтому по "обновление пришло год назад" нельзя сделать вывод, что нет свежих обновлений.
Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (1), 10-Дек-20, 09:45 
А могилле отдельное спасибо за новый файрфокс для ведёр. И за невозможность для обычных людей поэкспериментировать со сборкой нового Firefox для старых ведёр.
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –1 +/
Сообщение от Аноним (4), 10-Дек-20, 13:44 
> вызвана разыменованием нулевого указателя

ha-ha, classic

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –2 +/
Сообщение от ИмяХ (?), 10-Дек-20, 18:55 
Если бы была растишка, то такого бы не было.
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –1 +/
Сообщение от Анан (?), 10-Дек-20, 21:26 
давно пора перписать хотябы OpenSSL
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (21), 12-Дек-20, 00:17 
Было бы. Хорэ уже себя обманывать и вводить людей в заблуждение. На растишке оно бы просто падало и всё.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (26), 12-Дек-20, 06:39 
Руст всё ещё не защищает от 99% ошибок, прекрати обманывать себя и остальных.
Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +1 +/
Сообщение от Анон332 (?), 13-Дек-20, 00:56 
Фрактал, ну может уже хватит?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

28. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноньимъ (ok), 13-Дек-20, 06:09 
Увы, технологии древних позволявшие писать без ошибок забыты. Сишка победила.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  –1 +/
Сообщение от лютый жабби__ (?), 10-Дек-20, 13:46 
кваква, зачем Continent, когда есть волшебный openssl?
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +2 +/
Сообщение от Андрей (??), 10-Дек-20, 14:18 
> OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5,

Но ведь в LibreSSL не должно было быть такого бага. Они же там всё почистили </ирония>. И это же единственное преимущество. Было.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (15), 11-Дек-20, 03:03 
>Уязвимость вызвана разыменованием нулевого указателя

Не надоело писать на дырявом языке?

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (-), 11-Дек-20, 06:49 
Язык не может быть дырявым. Это у некоторых программистов руки растут из жопы.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от лютый жабби__ (?), 11-Дек-20, 08:52 
>Это у некоторых программистов руки растут из жопы.

теоретик опеннета ) у всех программистов встречаются ошибки, в ЛУЧШЕМ случае около 1 на 1000 строчек...

Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (21), 12-Дек-20, 00:25 
А чего ты завёлся? Сам же теоретик да едё и с цифрами от балды. От то таки прав. Только у растоманов одних святая вера что язык за них всё сделает. При этом дальше hello world они не писали и врятли напишут. Мозга не хватит.
Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (18), 11-Дек-20, 09:43 
https://upload.wikimedia.org/wikipedia/commons/3/3a/Piercing...
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (21), 12-Дек-20, 00:27 
А сказать то что хотел?
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от red75prim (?), 13-Дек-20, 10:30 
Переведу на более понятный язык: "Отсутствие техники безопасности не может приводить к проблемам - это люди тупые".
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

22. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Аноним (21), 12-Дек-20, 00:18 
Тебе очевидно лучше вообще ничего ни писать. Ни на каком языке.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +1 +/
Сообщение от Аноним (19), 11-Дек-20, 10:15 
ASN.1 - это рак, конечно
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Ivan_83 (ok), 11-Дек-20, 13:48 
А что такого?
Он как xml, json только бинарный.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +1 +/
Сообщение от Аноним (21), 12-Дек-20, 00:19 
Вот и вылез обжэсоненый с ног до головы.
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от пох. (?), 15-Дек-20, 11:31 
Ну правду же при этом сказал - он и действительно "как xml" (то есть не распарсишь без громадной, кишащей неустранимыми, просто в силу размеров кода, багами, библиотеки) - только еще и бинарный, c совершенно невменяемой внутренней структурой. ;-)

То ли рептилоиды нам на погибель придумали, то ли NSA, то ли просто сборище идиотов, собравшихся в комитет по причине профнепригодности ни для чего полезного. Ставлю на идиотов.

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Ivan_83 (ok), 26-Дек-20, 01:59 
Код парсинга ASN.1 довольно простой и компактный, по крайней мере у меня получился.
Для json, xml кода больше.
Все эти форматы решают в общем то одну задачу: хранения данных в которых есть иерархия/вложенность.
Есть ещё гугловый протобуф, и теперь видимо то что в http2, но видимо оно ещё хуже.
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."  +/
Сообщение от Ефросий (?), 14-Дек-20, 10:08 
Везде пишут про 1.1.1, а что там с дебианами? Всё ещё "The impact of this issue on OpenSSL 1.1.0 has not been analysed."?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру