forum.opennet.ru - "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" (23)

"Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
Сообщение от opennews (ok), 17-Фев-21, 09:40
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1j, в котором устранены две уязвимости:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54601
Ответить \| Правка \| Cообщить модератору

Оглавление

Это вам не какой-то школьнолинух говорили они это серьезный продукт, который к, Lex (??), 09:41 , 17-Фев-21, (2) –3

Читать не писать, правда , jkhjh (?), 10:02 , 17-Фев-21, (4)

Также опубликован релиз пакета LibreSSL 3 2 4, в рамках которого проект OpenBSD, Lex (??), 11:03 , 17-Фев-21, (6) –2

Да понятно, что читать целиком, из-за нарушения нормальной работы некоторых при, Аноним (-), 13:58 , 17-Фев-21, (11) –2

А писать не читать, не так ли , Аноним (7), 11:09 , 17-Фев-21, (7) +3

В либрессл дыр нет, но никто не юзает, Ssss (?), 09:45 , 17-Фев-21, (3)

В том и дело что в ней все дыры из openssl, ни одной не пропустили И при этом ес, пох. (?), 10:51 , 17-Фев-21, (5) –1

https www cvedetails com product 30688 Openbsd-Libressl htmlvshttps www cved, Дон Ягон (ok), 13:31 , 17-Фев-21, (10) –2

А если найду Хотя да, то что доступ к исходникам старательно сделан через полну, пох. (?), 16:54 , 17-Фев-21, (17) –1

Найди, лично я спасибо скажу хотя мне скорее по барабану Я уже как-то тебе зде, Дон Ягон (ok), 17:13 , 17-Фев-21, (18) –1

Ну раз даже тебе уже по барабану - мне еще больше по барабану Скачать обе версии, пох. (?), 17:39 , 17-Фев-21, (19) –1

Ты не поверишь по барабану В отличие от тебя я не сомневаюсь, что раз у нас с т, Дон Ягон (ok), 04:18 , 18-Фев-21, (22)

читать - да После того как их прочитают многие нехорошие васяны А исправлять - , пох. (?), 13:03 , 18-Фев-21, (23)

Что не так с Apache 2 0 , Аноним (21), 04:04 , 18-Фев-21, (21)

Дурацкие требования к владельцам патентов Сделанные исключительно с целью ублажи, пох. (?), 13:14 , 18-Фев-21, (24)

Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно Муви, Аноним (-), 14:57 , 18-Фев-21, (25)

Не ну так то да, всего какаято крошечная уязвимость сорок и сорок, руб сорок, с, Аноним (-), 13:10 , 17-Фев-21, (9) –2

CVE-2021-23839 - недоработка в реализации защиты от отката на использование прот, Аноним (26), 23:51 , 18-Фев-21, (26)

Когда оно научится подписывать CSR с SubjectAltName без костылей, вроде прописыв, nebularia (ok), 15:00 , 17-Фев-21, (12) –1

always have been Только тебе не понравится механизм, который это делал Ну или де, пох. (?), 15:20 , 17-Фев-21, (13)

Я про возможность подписать через x509 -req Без написания файла конфига для ca,, nebularia (ok), 15:47 , 17-Фев-21, (15) –1

в конфиге ca слишком много параметров, чтобы имело хоть малейший смысл тащить их, пох. (?), 16:16 , 17-Фев-21, (16) –1

А если ты про то что ты не можешь _сгенерировать_ такой csr - так давно уже можн, пох. (?), 15:25 , 17-Фев-21, (14) –1

Сообщения [Сортировка по времени | RSS]

2. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –3 +/–

Сообщение от Lex (??), 17-Фев-21, 09:41

> OpenBSD.. возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде
Это вам не какой-то школьнолинух говорили они.. это серьезный продукт, который кодят профессора и академики говорили они... тут все идёт по пл..

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от jkhjh (?), 17-Фев-21, 10:02

Читать не писать, правда?

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –2 +/–

Сообщение от Lex (??), 17-Фев-21, 11:03

"Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"
Таки да. Равно как и "развивать" - лепить новые выпуски, но из старого кода, ведь с новым - что-то отваливается у сумрачного гения

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –2 +/–

Сообщение от Аноним (-), 17-Фев-21, 13:58

> "Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает
> форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода"
> Таки да. Равно как и "развивать" - лепить новые выпуски, но из
> старого кода, ведь с новым - что-то отваливается у сумрачного гения
Да понятно, что читать целиком,
"из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. "
да еще и понимать прочитанное - это не про л4пчтаых в режиме джих^W Священной Ярости.

Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +3 +/–

Сообщение от Аноним (7), 17-Фев-21, 11:09

> Читать не писать, правда?
А писать не читать, не так ли?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от Ssss (?), 17-Фев-21, 09:45

В либрессл дыр нет, но никто не юзает

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от пох. (?), 17-Фев-21, 10:51

В том и дело что в ней все дыры из openssl, ни одной не пропустили.
И при этом есть собственные, и дальше будет больше (из-за изменения лицензии, сделанного специально для них, чтобы они не могли копипастить исправления из openssl).
А код никто кроме трехвасянов из опенка не смотрит и ничего в нем не исправляет.

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –2 +/–

Сообщение от Дон Ягон (ok), 17-Фев-21, 13:31

https://www.cvedetails.com/product/30688/Openbsd-Libressl.html
vs
https://www.cvedetails.com/product/383/Openssl-Openssl.html
Ну да, ни одной не пропустили.
Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в libre...

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от пох. (?), 17-Фев-21, 16:54

> Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в
> libre...
А если найду?!
Хотя да, то что доступ к исходникам старательно сделан через полную задницу, безусловно делает их 100% надежными и васяноупорными.
То что никто и не чешется заводить отдельные cve на васян-форк, кроме совсем уж фееричных, не означает, что там этих проблем нет.
Но ты, конечно же, уже сравнил реализации X509_issuer_and_serial_hash чтобы делать далекоидущие выводы? Я вот практически уверен что обе они родом из ssleay 96го года.
А все реально существенные проблемы - найдутся в обоих списках. Ни одного васянский форк не избежал, поскольку не с этими руками и не этой квалификацией.

Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от Дон Ягон (ok), 17-Фев-21, 17:13

> А если найду?!
Найди, лично я спасибо скажу (хотя мне скорее по барабану).
> А все реально существенные проблемы - найдутся в обоих списках. Ни одного
> васянский форк не избежал, поскольку не с этими руками и не
> этой квалификацией.
Я уже как-то тебе здесь же на опеннете сравнительный список приводил, в сообщении выше - ещё одно сравнение.
А то, что libressl не лишён дыр в принципе - сорян, мы живём в реальном мире, где софт пишут люди, а не боги.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от пох. (?), 17-Фев-21, 17:39

Ну раз даже тебе уже по барабану - мне еще больше по барабану.
Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить одну-единственную функцию не Б-г весть какая наука.
Но после нескольких показательных факапов и найденных мной лично грабель с заметанием крошек под ковер - мне просто перестало быть интересно, что там происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же ssl но без багов" сфейлилась с самого начала.
Нет смысла дальше тратить время на васянскую поделку. Тем более что они полезли в область, точно не предназначенную для васянов - и выбора у них нет из-за измененной лицензии.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от Дон Ягон (ok), 18-Фев-21, 04:18

> Ну раз даже тебе уже по барабану - мне еще больше по
> барабану.
Ты не поверишь: по барабану.
В отличие от тебя я не сомневаюсь, что раз у нас с тобой хватает ума сравнивать openssl и libressl, то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.
Так что хочешь - ищи, не хочешь - не ищи, от этого ничего не изменится, особенно для меня.
> Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить
> одну-единственную функцию не Б-г весть какая наука.
Эм.
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/#dirlist - lib{ssl,tls}
Но на самом деле тебе надо было написать в гугле libressl portable и перейти по первой ссылке.
> Но после нескольких показательных факапов и найденных мной лично грабель с заметанием
> крошек под ковер - мне просто перестало быть интересно, что там
> происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же
> ssl но без багов" сфейлилась с самого начала.
Угу, истинна данная тебе в ощущениях. Жаль, что кроме твоих ощущений - ничего. В то время, как есть, например, статистика уязвимостей.
> Нет смысла дальше тратить время на васянскую поделку. Тем более что они
> полезли в область, точно не предназначенную для васянов - и выбора
> у них нет из-за измененной лицензии.
Ага, раньше ты кричал, что они васяны потому что tls 1.3 "не осилили", а копипастить больше не могут. Интересно (не очень), к чему ты будешь при#####ться теперь?
И да, никто никого не заставляет тратить время на libressl. Его делают в первую очередь для openbsd, т.е. бОльшую часть людей это никак не касается.

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от пох. (?), 18-Фев-21, 13:03

> то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.
читать - да. После того как их прочитают многие нехорошие васяны.
А исправлять - ну, тут возможны варианты.
Ок, с X509, похоже, они действительно успели вовремя:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/...
это исправление из тех времен, когда мне еще казалось что от этой деятельности есть толк.
> И да, никто никого не заставляет тратить время на libressl.
Я, собственно, и не трачу, и изумляюсь только что кто-то еще рискует ей пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от Аноним (21), 18-Фев-21, 04:04

Что не так с Apache 2.0?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

24. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от пох. (?), 18-Фев-21, 13:14

Дурацкие требования к владельцам патентов.
Сделанные исключительно с целью ублажить гнусь.

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от Аноним (-), 18-Фев-21, 14:57

Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно. Мувик не забудь выложить (если выживешь).

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –2 +/–

Сообщение от Аноним (-), 17-Фев-21, 13:10

>в котором устранены две уязвимости:
>CVE-2021-23841
>CVE-2021-23840
>CVE-2021-23839
Не ну так то да, всего какаято крошечная уязвимость. сорок и сорок, руб сорок, спички брал - да/нет, и того два сорок.
Или они считают с ноля(нуля)?

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от Аноним (26), 18-Фев-21, 23:51

CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.
OpenSSL 1.1.1 does not have SSLv2 support and therefore is not vulnerable to
this issue.

соотв оно не исправлялось.. исправдлено 2, найдено три, но одна в старой версии, которая в новой нихт арбайтн без исправления.

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от nebularia (ok), 17-Фев-21, 15:00

Когда оно научится подписывать CSR с SubjectAltName без костылей, вроде прописывания их вручную в отдельном файле?

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" +/–

Сообщение от пох. (?), 17-Фев-21, 15:20

always have been.
Только тебе не понравится механизм, который это делал.
Ну или детальнее: оно вообще не подписывает никакие "csr", оно подписывает сертификат.
Который само же и генерит из данных, предоставляемых в csr и тех, которые указаны в конфигах самого ca. Внутри csr никакого готового "сертификата" нет.
Соответственно, для _любого_ поля у тебя есть теоретически два варианта - сгенерить и взять из csr.
А практически у нас есть совершенно м-цкая команда copy_extensions, которая имеет ровно два варианта - либо копировать вообще все подряд, либо копировать только то, что отсутствует в наших собственных.
В *обоих* случаях оно копирует _все_, любой мусор, который васян тебе подсунул в csr - в том числе, а не только altname. Поэтому правильно твой запрос звучит - "когда оно научится, блжад, копировать только то что явно указано и разрешено?!" (и что было в головах тех васянов, которые такой код наструячили)
А пока - успехов тебе валидировать что в подписуемом нет ничего неположенного - вручную.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от nebularia (ok), 17-Фев-21, 15:47

Я про возможность подписать через x509 -req. Без написания файла конфига для ca, вот этого всего. Опции -copy_extensions в командной строке бы хватило, но... её нет.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от пох. (?), 17-Фев-21, 16:16

в конфиге ca слишком много параметров, чтобы имело хоть малейший смысл тащить их все в командную строку.
copy_extensions=copy в нем - при этом позволяет не редактировать никакие конфиги ради подписания каждого индивидуального серта. Но ценой существенного усложнения валидации того что ты подписываешь (или увеличения риска подписать какую-нибудь лажу). А при сертификатах со сроком годности в пол-дня, как нынче нам навязали, это никуда не годится.
Поэтому большинство васянской автоматики работает через автосоздаваемый файлик. Зато в подписанном только то, что ты точно хотел чтобы туда попало - потому что это твой конфиг, а не автора csr. Оттуда, по факту, берется только ключ.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4" –1 +/–

Сообщение от пох. (?), 17-Фев-21, 15:25

А если ты про то что ты не можешь _сгенерировать_ такой csr - так давно уже можно задавать extensions прямо в командной строке.
Только смысл в этом какой? Эту информацию вполне удобно держать именно в файле, учитывая какой у нее уродливый формат и что ее обычно довольно много. Файл при этом можно использовать отдельный от основного конфига - опять же возможность брать v3exts из отдельного файла давным-давно есть.
В чем проблема-то? Все равно эти данные надо где-то держать, и они специфичны для каждого отдельного csr.
Вот подписывать такое - действительно врагу не пожелаешь.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–3 +/–
Сообщение от Lex (??), 17-Фев-21, 09:41
> OpenBSD.. возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде Это вам не какой-то школьнолинух говорили они.. это серьезный продукт, который кодят профессора и академики говорили они... тут все идёт по пл..
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от jkhjh (?), 17-Фев-21, 10:02
	Читать не писать, правда?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–2 +/–
	Сообщение от Lex (??), 17-Фев-21, 11:03
	"Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода" Таки да. Равно как и "развивать" - лепить новые выпуски, но из старого кода, ведь с новым - что-то отваливается у сумрачного гения
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–2 +/–
	Сообщение от Аноним (-), 17-Фев-21, 13:58
	> "Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает > форк OpenSSL.. Выпуск примечателен возвратом на использование старого кода" > Таки да. Равно как и "развивать" - лепить новые выпуски, но из > старого кода, ведь с новым - что-то отваливается у сумрачного гения Да понятно, что читать целиком, "из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. " да еще и понимать прочитанное - это не про л4пчтаых в режиме джих^W Священной Ярости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+3 +/–
	Сообщение от Аноним (7), 17-Фев-21, 11:09
	> Читать не писать, правда? А писать не читать, не так ли?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

3. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
Сообщение от Ssss (?), 17-Фев-21, 09:45
В либрессл дыр нет, но никто не юзает
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от пох. (?), 17-Фев-21, 10:51
	В том и дело что в ней все дыры из openssl, ни одной не пропустили. И при этом есть собственные, и дальше будет больше (из-за изменения лицензии, сделанного специально для них, чтобы они не могли копипастить исправления из openssl). А код никто кроме трехвасянов из опенка не смотрит и ничего в нем не исправляет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–2 +/–
	Сообщение от Дон Ягон (ok), 17-Фев-21, 13:31
	https://www.cvedetails.com/product/30688/Openbsd-Libressl.html vs https://www.cvedetails.com/product/383/Openssl-Openssl.html Ну да, ни одной не пропустили. Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в libre...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от пох. (?), 17-Фев-21, 16:54
	> Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в > libre... А если найду?! Хотя да, то что доступ к исходникам старательно сделан через полную задницу, безусловно делает их 100% надежными и васяноупорными. То что никто и не чешется заводить отдельные cve на васян-форк, кроме совсем уж фееричных, не означает, что там этих проблем нет. Но ты, конечно же, уже сравнил реализации X509_issuer_and_serial_hash чтобы делать далекоидущие выводы? Я вот практически уверен что обе они родом из ssleay 96го года. А все реально существенные проблемы - найдутся в обоих списках. Ни одного васянский форк не избежал, поскольку не с этими руками и не этой квалификацией.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от Дон Ягон (ok), 17-Фев-21, 17:13
	> А если найду?! Найди, лично я спасибо скажу (хотя мне скорее по барабану). > А все реально существенные проблемы - найдутся в обоих списках. Ни одного > васянский форк не избежал, поскольку не с этими руками и не > этой квалификацией. Я уже как-то тебе здесь же на опеннете сравнительный список приводил, в сообщении выше - ещё одно сравнение. А то, что libressl не лишён дыр в принципе - сорян, мы живём в реальном мире, где софт пишут люди, а не боги.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от пох. (?), 17-Фев-21, 17:39
	Ну раз даже тебе уже по барабану - мне еще больше по барабану. Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить одну-единственную функцию не Б-г весть какая наука. Но после нескольких показательных факапов и найденных мной лично грабель с заметанием крошек под ковер - мне просто перестало быть интересно, что там происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же ssl но без багов" сфейлилась с самого начала. Нет смысла дальше тратить время на васянскую поделку. Тем более что они полезли в область, точно не предназначенную для васянов - и выбора у них нет из-за измененной лицензии.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от Дон Ягон (ok), 18-Фев-21, 04:18
	> Ну раз даже тебе уже по барабану - мне еще больше по > барабану. Ты не поверишь: по барабану. В отличие от тебя я не сомневаюсь, что раз у нас с тобой хватает ума сравнивать openssl и libressl, то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl. Так что хочешь - ищи, не хочешь - не ищи, от этого ничего не изменится, особенно для меня. > Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить > одну-единственную функцию не Б-г весть какая наука. Эм. https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/#dirlist - lib{ssl,tls} Но на самом деле тебе надо было написать в гугле libressl portable и перейти по первой ссылке. > Но после нескольких показательных факапов и найденных мной лично грабель с заметанием > крошек под ковер - мне просто перестало быть интересно, что там > происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же > ssl но без багов" сфейлилась с самого начала. Угу, истинна данная тебе в ощущениях. Жаль, что кроме твоих ощущений - ничего. В то время, как есть, например, статистика уязвимостей. > Нет смысла дальше тратить время на васянскую поделку. Тем более что они > полезли в область, точно не предназначенную для васянов - и выбора > у них нет из-за измененной лицензии. Ага, раньше ты кричал, что они васяны потому что tls 1.3 "не осилили", а копипастить больше не могут. Интересно (не очень), к чему ты будешь при#####ться теперь? И да, никто никого не заставляет тратить время на libressl. Его делают в первую очередь для openbsd, т.е. бОльшую часть людей это никак не касается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от пох. (?), 18-Фев-21, 13:03
	> то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl. читать - да. После того как их прочитают многие нехорошие васяны. А исправлять - ну, тут возможны варианты. Ок, с X509, похоже, они действительно успели вовремя: https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/... это исправление из тех времен, когда мне еще казалось что от этой деятельности есть толк. > И да, никто никого не заставляет тратить время на libressl. Я, собственно, и не трачу, и изумляюсь только что кто-то еще рискует ей пользоваться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от Аноним (21), 18-Фев-21, 04:04
	Что не так с Apache 2.0?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	24. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от пох. (?), 18-Фев-21, 13:14
	Дурацкие требования к владельцам патентов. Сделанные исключительно с целью ублажить гнусь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от Аноним (-), 18-Фев-21, 14:57
	Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно. Мувик не забудь выложить (если выживешь).
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–2 +/–
Сообщение от Аноним (-), 17-Фев-21, 13:10
>в котором устранены две уязвимости: >CVE-2021-23841 >CVE-2021-23840 >CVE-2021-23839 Не ну так то да, всего какаято крошечная уязвимость. сорок и сорок, руб сорок, спички брал - да/нет, и того два сорок. Или они считают с ноля(нуля)?
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от Аноним (26), 18-Фев-21, 23:51
	CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2. OpenSSL 1.1.1 does not have SSLv2 support and therefore is not vulnerable to this issue. соотв оно не исправлялось.. исправдлено 2, найдено три, но одна в старой версии, которая в новой нихт арбайтн без исправления.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
Сообщение от nebularia (ok), 17-Фев-21, 15:00
Когда оно научится подписывать CSR с SubjectAltName без костылей, вроде прописывания их вручную в отдельном файле?
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	+/–
	Сообщение от пох. (?), 17-Фев-21, 15:20
	always have been. Только тебе не понравится механизм, который это делал. Ну или детальнее: оно вообще не подписывает никакие "csr", оно подписывает сертификат. Который само же и генерит из данных, предоставляемых в csr и тех, которые указаны в конфигах самого ca. Внутри csr никакого готового "сертификата" нет. Соответственно, для _любого_ поля у тебя есть теоретически два варианта - сгенерить и взять из csr. А практически у нас есть совершенно м-цкая команда copy_extensions, которая имеет ровно два варианта - либо копировать вообще все подряд, либо копировать только то, что отсутствует в наших собственных. В обоих случаях оно копирует _все_, любой мусор, который васян тебе подсунул в csr - в том числе, а не только altname. Поэтому правильно твой запрос звучит - "когда оно научится, блжад, копировать только то что явно указано и разрешено?!" (и что было в головах тех васянов, которые такой код наструячили) А пока - успехов тебе валидировать что в подписуемом нет ничего неположенного - вручную.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от nebularia (ok), 17-Фев-21, 15:47
	Я про возможность подписать через x509 -req. Без написания файла конфига для ca, вот этого всего. Опции -copy_extensions в командной строке бы хватило, но... её нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от пох. (?), 17-Фев-21, 16:16
	в конфиге ca слишком много параметров, чтобы имело хоть малейший смысл тащить их все в командную строку. copy_extensions=copy в нем - при этом позволяет не редактировать никакие конфиги ради подписания каждого индивидуального серта. Но ценой существенного усложнения валидации того что ты подписываешь (или увеличения риска подписать какую-нибудь лажу). А при сертификатах со сроком годности в пол-дня, как нынче нам навязали, это никуда не годится. Поэтому большинство васянской автоматики работает через автосоздаваемый файлик. Зато в подписанном только то, что ты точно хотел чтобы туда попало - потому что это твой конфиг, а не автора csr. Оттуда, по факту, берется только ключ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4"	–1 +/–
	Сообщение от пох. (?), 17-Фев-21, 15:25
	А если ты про то что ты не можешь _сгенерировать_ такой csr - так давно уже можно задавать extensions прямо в командной строке. Только смысл в этом какой? Эту информацию вполне удобно держать именно в файле, учитывая какой у нее уродливый формат и что ее обычно довольно много. Файл при этом можно использовать отдельный от основного конфига - опять же возможность брать v3exts из отдельного файла давным-давно есть. В чем проблема-то? Все равно эти данные надо где-то держать, и они специфичны для каждого отдельного csr. Вот подписывать такое - действительно врагу не пожелаешь.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору