| 1.1, QwertyReg (ok), 22:28, 27/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
 > исправлением
> OPENSSL_cleanse(storage, sizeof(storage));
> OPENSSL_cleanse(tmp, sizeof(tmp));
Сишное переполнение?! Как неожиданно!
| | |
| |
| 2.23, Аноним (23), 01:31, 28/06/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Я бы скорее сказал "openssl-щики опять нагамнокодили". При том как видим - только они. С очередным "улучшением" их чудной высококачественной либы.
И поверьте, качество и компетентность кодеров этой гадости лезет не только в этом. Эти утырки при запросе хардварной акселерации напрямую RNG проца выгружают, codename фичи, очевидно, "NSA FTW". И это типа не баг у них. Более того, они и чисто логические баги зачотные фигачили, типа проехавшей валидации с ... абсолютно левым ключом. И от этого никакой хруст или что там еще не поможет. В общем вон тем господам противопоказано своими лапками крипто трогать.
| | |
| |
| 3.29, Fracta1L (ok), 07:49, 28/06/2022 [^] [^^] [^^^] [ответить]
| –5 +/– |
 > При том как видим - только они
Действительно, в других сишных прогах же не бывает дыр из-за переполнения 😆
| | |
| |
| 4.30, Аноним (-), 08:54, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
С другой стороны, у конкретно openssl'щиков такой ассортимент ситостроения, что переполнения там лишь одна из многочисленных проблем. И даже если от нее отделаться, это не сильно поможет данным господам. В последнее время, кстати, переполнения у них довольно редко бывают. Не мешает патчам на эту гамнолибу стабильно валиться минмум раз в месяц с дюжинами других CVE всех мастей и направлений.
p.s. а ты можешь уже морально готовиться канпилять хруст при сборен ядра, "девочка имела счастье" :)))
| | |
|
| 3.50, Аноним (-), 19:31, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Угу, а до этого нагамнокодили писаЙтели ядра, а до них BFS, а до них zip, а до них... да тут каждую неделю кто в очередной раз не сумел в работу с памятью
Развелось гамнакодеров!
| | |
|
|
| 1.4, Аноним (4), 23:05, 27/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>ошибки в коде, в результате которого может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.
HeartBleed 2.0?
| | |
| |
| 2.8, Аноним (8), 23:30, 27/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
3 нигде не используется ещё. Предусмотрительно сломали совместимость, молодцы.
| | |
| |
| |
| |
| 5.19, Аноним (15), 00:15, 28/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Посмотрел несколько ошибок, фиксятся тривиально. На "сломали совместимость" всё-таки не тянет, просто удалили несколько депрекейтнутых функций или дефайнов. Например, относящихся к SSL 2.0. Некоторые ошибки - попытка неправильно вызывать новые функции OpenSSL 3, с неправильным количеством параметров. В Убунте эти ошибки не проявляются. Либо мейнтейнеры пофиксили, либо апстрим. В Генте, получается, проявляются, ибо софт собирается на машине пользователя.
| | |
|
|
| 3.17, Аноним (15), 23:55, 27/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Предусмотрительно сломали совместимость, молодцы.
Тут ты зря. Много чего deprecated, но все ещё работает.
| | |
|
|
| 1.6, Аноним (6), 23:16, 27/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>некорректным исправлением ошибки в коде
Как-же уже ДОСТАЛИ эти коновалы из openssl! Они умеют только несовместимо менять API каждые 2 года
| | |
| |
| 2.7, ИмяХ (?), 23:23, 27/06/2022 [^] [^^] [^^^] [ответить]
| –5 +/– |
Учись постоянно, и тогда мозги у тебя будут всегда нормальные.
| | |
| |
| 3.11, Аноним (6), 23:39, 27/06/2022 [^] [^^] [^^^] [ответить]
| +6 +/– | |
>Учись постоянно, и тогда мозги у тебя будут всегда нормальные.
Каждые 2 года менять расположение педалей и приборов в автомобиле для поддержания мозгового тонуса. Нормально? Ну-ну...
| | |
|
| 2.20, Аноним (15), 00:18, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Почему несовместимо? SSL_connect() всё с теми же параметрами вызывается.
| | |
| |
| 3.24, Аноним (23), 01:32, 28/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
А теперь попробуй какую-то реалистичную программу без патчинга собрать, тогда и узнаешь почему. При том ладно б апи вменяемее стал, но ведь как был полный булшит так и остался.
| | |
| |
| 4.26, Аноним (15), 02:32, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ну вот Apache собирается c OpenSSL 3. Без патчинга, да. Достаточно реалистичная программа?
Можешь сказать, какие *важные* API в OpenSSL 3 несовместимо поменяли? Я тебе привёл пример довольно важного API, SSL_connect(), которое не поменяли. Приведи тоже пример важного API, которое поменяли, при чём несовместимо.
| | |
| |
| 5.31, Аноним (-), 08:57, 28/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Он без патчинга собирается только потому что патчинг его кодеры вместо вас отпедалили. А еще, только подумайте, булки не растут на деревьях.
| | |
| |
| 6.37, Аноним (15), 12:58, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ещё раз для специалистов по булкам. Apache с офсайта, вот этот файл: https://dlcdn.apache.org/httpd/httpd-2.4.54.tar.gz, собирается с OpenSSL 3 без патчей.
И как там насчёт конкретики? Какие *важные* API в OpenSSL 3 несовместимо поменяли? Я привёл пример довольно важного API, SSL_connect(), которое не поменяли. Приведи тоже пример важного API, которое поменяли, при чём несовместимо.
| | |
|
|
|
|
|
| 1.10, Аноним (6), 23:36, 27/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Главная беда: у openssl нет альтернатив.
GnuTLS - ожирел до невозможности, плюс куча внешних зависимостей. NSS - не менее монструозен и похоже умирает потихоньку. LibreSSL (а какая классная идея была!) - остается маргинальным и тоже умирает (потеряли титульного спонсора). Остальная братия еще более маргинальная
| | |
| |
| 2.14, Аноним (8), 23:51, 27/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
А в чём беда? Прекрасная либа, все программы на свете, кроме разве что браузеров, пользуются именно ей. Браузеры пользуются её форками.
| | |
| 2.58, qweo (?), 07:23, 05/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
BearSSL хороша. Минималистична, и устойчива к timing-based атакам.
| | |
|
| 1.13, Аноним (13), 23:49, 27/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– | |
> OpenSSL version 3.0.4, released on June 21th 2022, is susceptible to remote memory corruption which can be triggered trivially by an attacker. BoringSSL, LibreSSL and the OpenSSL 1.1.1 branch are not affected. Furthermore, only x64 systems with AVX512 support are affected. The bug is fixed in the repository but a new release is still pending.
Затронуло 0 человек.
Всем спать.
// b.
| | |
| |
| |
| |
| |
| 5.55, Брат Анон (ok), 09:15, 29/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Какой же это Карл на аватарку посмотрим это Владимир.
Угу. Вот и выросло поколение, которое не отличает Карла от Владимира Марксовича.
| | |
|
|
|
|
| 1.22, Аноним (22), 00:48, 28/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> в момент установки TLS-соединения
TLS/SSL - это гнилой перераздутый изменчивый стандарт, дырень для корпораций и майёра.
Поэтому нужно использовать только базовые функции OpenSSL (хэширование и шифрование), в них пока не находили гадостей.
| | |
| 1.25, Kuromi (ok), 01:36, 28/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Забавно, только на днях на Форониксе все хвалили AVX512 из-за того что он позволяет парсить JSON со скоростью гигабайты в секунду и всех в комментах посылали купить проц с AVX512,а тут рраз и упс...
Проблема конечно не в инструкции, но...
| | |
| |
| |
| |
| 4.44, Kuromi (ok), 17:00, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> ...но осадочек остался.
Не осадочек, но понимание что разрабы еще не очень умеют с ней нормально работать. Вероятные ништяки нивелируются вот такими невероятными косяками.
| | |
|
|
| 2.40, Аноним (40), 15:35, 28/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> AVX512
Абсолютное ненужно, по крайней мере в ближайшие лет 10.
| | |
| |
| 3.53, Аноним (53), 02:37, 29/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну раз аноним на опеннете сказал "не нужно", значит и правда не нужно.
| | |
| |
| 4.54, Аноним (54), 04:14, 29/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Опенсорсное сообщество само по себе очень консервативное и "не нужно" оправдано в 90% случаев.
| | |
|
|
| 2.45, Аноним (45), 17:02, 28/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Т.е., как это вещественные векторы помогают парсить тексториентированне файлы?
| | |
|
| 1.36, USD (?), 11:43, 28/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
говорил же григри на своем конале что все новое это баги и уязвимости , кто то просто продолжает начатое изломление в угоду маикам как же он четко все разложил
| | |
| |
| 2.48, Анонним (?), 19:29, 28/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Насколько новое? Я видел тему от года вроде 2015 почему OpenH264 использует инструкции MMX, а не новые. Нати не могу. Помню так. Ответ мне не нужен. Это призадуматся.
| | |
|
|
