https://opennet.ru/openforum/vsluhforumID3/109609.html Опубликован (https://mta.openssl.org/pipermail/openssl-announce/2016-November/000086.html) корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости (https://mta.openssl.org/pipermail/openssl-announce/2016-November/000087.html), среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 (https://security-tracker.debian.org/tracker/CVE-2016-7054) присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.<br><br><br>URL: https://mta.openssl.org/pipermail/openssl-announce/2016-November/000086.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=45472<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#23 Tue, 15 Nov 2016 00:15:13 GMT &gt; Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.<br><br>Там на всю либу один комментарий. И он такой что модераторы его снесли. Надеюсь знание этого факта дает исчерпывающее представление о качестве либы, ее API и проч.<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#21 Sat, 12 Nov 2016 11:30:45 GMT &gt; vuln в трех строках кода, который годами у людей работал без <br>&gt; приключений - это вообще EPIC FAIL. Особенно в штуке которая априори <br>&gt; ворочает внешние данные из сети.<br><br>Поместите сюда обсуждаемый участок кода со своими комментариями, пожалуйста.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/109609.html#18 Fri, 11 Nov 2016 15:43:20 GMT Знаешь, есть такая хорошая поговорка: не умеешь - не берись. Знаешь, я могу и не быть экспертом проектирования автомобилей чтобы быть недовольным результатом краштестов некоторых китайцев и обходить такие продукты стороной.<br><br>Ну так вот: результаты краштестов openssl - неудовлетворительные. Более того - посадить vuln в трех строках кода, который годами у людей работал без приключений - это вообще EPIC FAIL. Особенно в штуке которая априори ворочает внешние данные из сети.<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#17 Fri, 11 Nov 2016 13:35:15 GMT Я смотрю, в комментах собрались всемирно признанные программеры-криптографы, не совершающие ошибок. Я прям аж смутился в такой компании...<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#16 Fri, 11 Nov 2016 09:33:12 GMT &gt; Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305"<br><br>КАК?! Как они умудрились ошибку там сделать...<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#15 Fri, 11 Nov 2016 06:38:23 GMT &gt;Не уверен, что ей вообще хоть какой-то серьйзный софт пользуется. <br><br>Еще не успели портировать<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#14 Thu, 10 Nov 2016 23:05:15 GMT &gt; https://www.peereboom.us/assl/assl/html/openssl.html поколение биберов минусует. <br><br>[code]<br>The certificate expired on 10/23/2016 01:51 AM. <br>[/code]<br>HTTPS FAIL.<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#12 Thu, 10 Nov 2016 21:49:44 GMT &gt; Да и фиг бы с ним. 1.1 - по сути экспериментальная ветка <br>&gt; с изменившимся API, которой полугода нет. Не уверен, что ей вообще <br>&gt; хоть какой-то серьйзный софт пользуется.<br><br>Тем кто openssl пишет лучше на завалинке сидеть. Нет, рассаду выращивать я им ссыкую предлагать - от мутантов заманаешься отмахиваться потом при их отношении к делу.<br> https://opennet.ru/openforum/vsluhforumID3/109609.html#11 Thu, 10 Nov 2016 21:46:31 GMT &gt; 114 <br>&gt; Серьёзно?<br><br>Это DJB, чувак! У меня 25519 + poly1305 + salsa20 из tweetnacl'а уместились в ТРИ КИЛОБАЙТА кода Cortex M. И я теперь на тощем микроконтроллере и то с публичным крипто. Ну что, openssl, крипто то надо было делать вот так...<br>