Проект OpenBSD выпустил (https://marc.info/?l=openbsd-tech&m=140599450206255&w=2) корректирующий релиз LibreSSL 2.0.3 (http://www.libressl.org/), в котором представлено несколько изменений, направленных на улучшение переносимости кода. Кроме того, интегрирован улучшенный код для определения ответвления новых процессов, обеспечивающий переинициализацию генератора псевдослучайных чисел после создания нового процесса вызовом fork. Представленный в версии 2.0.2 метод обхода уязвимости (http://www.opennet.me/opennews/art.shtml?num=40227) оказался (http://port70.net/~nsz/47_arc4random.html) не так надёжен, как хотелось бы.
URL: https://marc.info/?l=openbsd-tech&m=140599450206255&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=40245
Уже третий корректирующий релиз за неделю. А ведь LibreOffice изначально позиционаровался как SSL без таких эпичных багов, как в OpenSSL.
> А ведь LibreOffice изначально позиционИровался как SSLофис позиционировался как SSL? это как?
По поводу офиса тебе уже ответили. А по существу, первая важная истина, которую познает джуниор, заключается в том, что баги в коде будут всегда, их делают и молодые, и старые с любым опытом и стажем в разработке. Разница лишь в их количестве и тривиальности. Идеальный код не существует.
То, что взялись выкинуть артефакты из обросшего бородой проекта это есть только хорошо. Но во-первых, не надо ждать мгновенных результатов. Во-вторых всегда надо допускать, что инициатива может загнуться.
Они не ждут год, чтобы починить.
> Они не ждут год, чтобы починить.И чтобы добавить - тоже не ждут :)
> То, что взялись выкинуть артефакты из обросшего бородой проекта это естьЭто дух Поттеринга.
> LibreOffice изначально позиционаровался как SSL без таких эпичных багов,Протрезвей и больше не пиши такой эпичный булшит.
это исправление для portable-версийдля openbsd-current оно вообще обновляется нон-стоп :)
Ты ламер. Есть разница между minor фиксами и сквозными дырами в безомасности.
Последние исправления направлены на переносимость пакета на ядро Linux'а, и назвать их как то багами очень сложно... Кто ж знал, что там такая подстава...
А знать такие вещи наверное должны были те умники которые "сначала выпилим код, а потом разберемся зачем он был нужен". Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...
это уже на мс смахивает, починили одно, попадало где попалоладно хоть не врачами работают
Все программисты когда то правили баг, и вносили еще один. Это называется регрессия сынок.
Но не программистам не понять этого.
> Это называется регрессия сынок.То что случилось в данном случае называется "полный д@лб@е#$зм апстрима".
анонимные эксперты, вечно непримиримые к чужим ошибкам и знающие лучше что нужно было делать и как.
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен". Не любит криптография
> шибко ретивых, но не шибко грамотных кодерасов.
> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
Как уже надоели эти эксперты по всему, которые всех научат, как делать правильно...
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?Ну, если разработчики openbsd не желают разбираться в том коде, который они разрабатывают, то зачем какому-то анониму разбираться в их отмазках?
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и >стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
>Ну, если разработчики openbsd не желают разбираться в том коде, который они >разрабатывают, то зачем какому-то анониму разбираться в их отмазках?Они то разобрались и сделали реверанс в отношении ядра, вот только сам Линукс сделает ли ответный ход, по мне так бага именно в ядре, а не в либе...
Такой "компетентный" апстрим - только слать в пешее эротическое. Нафиг-нафиг.
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И он судя по таким новостям печален. Ибо сначала "эксперты" костылят какой-то ужас, а потом еще и "оптимизаторы" припираются ужас выпилить, не понимая зачем он вкорячен и что в результате рушится. Не умеешь - не берись. Будет нужда - криптографию, поверьте, напишут. А вот кусок глюкавого и проблемного дepьмища лишний раз успокоит всех и спецы не полезут писать код, т.к. решение и так уже есть, а хомяки будут наивно думать что это глюкавое дepьмо от чего-то защищает. Это, братцы, САБОТАЖ.
> Как уже надоели эти эксперты по всему, которые всех научат, как делать
> правильно...Вы не представляете как надоели ж@порукие обезьяны, зачем-то сующие нос в криптографию, не имея ни малейшего понятия о том что это security sensitive код и его колупание подразумевает некую ответственность перед обществом за последствия. Особенно когда секурити размахивают как флагом.
Вообще, опеночники опопсели и скатываются в какое-то г. Вон openssh - вообще эталон блоатваре. В его сорце вообще черт ногу сломит. Там 100500 свистоперделок и легами. В результате врубиться как все это будет работать в том или ином случае...
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
>> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
> Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И
> он судя по таким новостям печален.Судя по новостям, LibreSSL 2.0.3 не только собирается на 90% современных компов, но при этом ещё и выполняет свою работу более качественно за счёт ответственного подхода к вопросам зачистки важных данных и использования качественного рандома.
То, что по дороге что-то сломали и оперативно починили - увы. Но хотелось бы отметить, что починили оперативно, а так же не ломая API или ABI - как это не раз бывало в OpenSSL.
Ищете идеала? Не найдёте.
> а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделаноу улучшателей всё работало. на bsd. за тем, чтобы всё работало на других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не в позиции пупа земли, да.
> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
> в позиции пупа земли, да.Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода. Если выпиливтаь код наобум и не париться про портабельность - тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала. А то посадить баг при ампутации кода - это круто, господа.
>> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
>> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
>> в позиции пупа земли, да.
> Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода.http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/008_op...
чинят.
> Если выпиливтаь код наобум и не париться про портабельность
Ещё раз: задача корректного выполнения коде на платформе, отличной от платформы разработки лежит на мейнтейнерах. Будут они городить некий код и отправят свои опусы в апстрим или поправят у себя в ядре - тоже решать им.
> тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала.лычно ты можешь насмерть обидеться и написать свой ssl, портабельный от амиги и ос2 до windows9 и убунты. ну или, что вероятнее, нервно взвизгивать и выпиливать libressl и втыкать openssl. хотя ещё вероятнее, что визгами на форумах всё и ограничится, а кушать будешь то, что подадут по apt-get.
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен".О, да, особенно нужны была поддержка VMS и собственные реализации malloc() и free() (успешно скрывавшие баги в OpenSSL).
> Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.
Вы бы хоть на процессы, идущие в LibreSSL посмотрели, прежде чем огульно комментировать... Но нет, как же, вот "код не читал, но осуждаю" - это наш метод!
> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще
> раз...Системозависимые трюки используются ровно для тех вещей, которые являются системозависимыми. Потому что, например, не стандартизированы.
Идёт НОРМАЛЬНЫЙ процесс адаптации под обширную экосистему. LibreSSL УЖЕ собирается и работает под большинство распространённых ОС без дополнительных тычков, не говоря о ковырянии в коде. bcook@ и компания проделали и продолжают делать огромную работу - они не только адаптировали LibreSSL, они ещё и провоцируют улучшение самой экосистемы. Тот же рассматриваемый сейчас на добавление системный вызов getrandom() - результат работы команды LibreSSL. И уже за одно это им стоит сказать "спасибо".
Но, боюсь, людям с аллергией на слово OpenBSD это не понять.
> дебиановская история с предсказуемыми ключами посетит вас еще разв той истории -- разработчики Дебиана были правы.
а разработчики говнокода -- были идиоты.
вся ирония лишь в том что новостные корреспонденты -- всю историю перевернули так будто бы якобы разработчики Дебиана являются говнокодерами.
Как блины пекут
> переинициализацию генератора псевдослучайныхЭто есть гут!
Но если ее там не было, то это есть очень и очень не гут.
Хотя, смотря на основе чего инициализировать будут?
> Хотя, смотря на основе чего инициализировать будут?А вот для этого как раз в OpenBSD есть getentropy(), а в Linux пропихивают getrandom()... Бо процесс может оказаться в chroot'е, где /dev/* отсутствуют.
я выбираю boringSSL
> я выбираю boringSSLГугл постеснялся сказать что на самом деле это BorgSSL :).
ssl для хрома
Не будет ли вскоре каждое новое внесение изменения релизом? :-)
Второе. Не делают ли эти разработчики нечто такое, что явно не поддерживается системами? Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.
> Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.Потому что по ссылке надо сходить и прочитать, прежде чем задавать глупые вопросы, правда?
> Потому что по ссылке надо сходить и прочитать, прежде чем задавать
> глупые вопросы, правда?И много чего ещё можно пожелать автору глупого вопроса.
(они там ещё и явную переинициализацию этого PRNG подпортили... В общем Libre не очень пригодна... К использованию.)
>> Потому что по ссылке надо сходить и прочитать, прежде чем задавать
>> глупые вопросы, правда?
> И много чего ещё можно пожелать автору глупого вопроса.Вот и пожелайте себе, угу?
А на досуге можете спросить себя, как будут отличаться генерируемые PRNG последовательности в родительском и дочернем (после fork()) процессах.