The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от opennews (??), 25-Авг-21, 21:05 
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55683

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –5 +/
Сообщение от Аноним (1), 25-Авг-21, 21:05 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  –3 +/
Сообщение от Rev (?), 25-Авг-21, 21:11 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  –2 +/
Сообщение от Аноним (1), 25-Авг-21, 21:15 
Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором  +1 +/
Сообщение от Alladin (?), 25-Авг-21, 22:07 
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  +/
Сообщение от Аноним (1), 25-Авг-21, 23:31 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  +2 +/
Сообщение от Ольбертович (?), 25-Авг-21, 21:20 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

13. Скрыто модератором  +/
Сообщение от Alladin (?), 25-Авг-21, 22:08 
Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором  +3 +/
Сообщение от Ольбертович (?), 26-Авг-21, 02:09 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +2 +/
Сообщение от Хан (?), 25-Авг-21, 21:25 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. Скрыто модератором  –3 +/
Сообщение от Аноним (17), 25-Авг-21, 22:57 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. Скрыто модератором  +1 +/
Сообщение от Аноним (1), 25-Авг-21, 23:31 
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (3), 25-Авг-21, 21:10 
Молодцы что исправили.
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +2 +/
Сообщение от Аноним (21), 26-Авг-21, 02:29 
Гораздо сложнее не допускать, чем по пути исправлять.
Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +4 +/
Сообщение от Аноним (8), 25-Авг-21, 21:29 
> Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.

Ну вообще то они её и нашли, уязвимость эту:

"An initial instance of this issue in the X509_aux_print() function was reported
to OpenSSL on 18th July 2021 by Ingo Schwarze. The bugfix was developed by Ingo
Schwarze and first publicly released in OpenBSD-current on 10th July 2021 and
subsequently in OpenSSL on 20th July 2021 (commit d9d838ddc). Subsequent
analysis by David Benjamin on 17th August 2021 identified more instances of the
same bug. Additional analysis was performed by Matt Caswell. Fixes for the
additional instances of this issue were developed by Matt Caswell."

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (8), 25-Авг-21, 21:36 
А SM2 там пока и нет: https://github.com/libressl-portable/portable/issues/636
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  –1 +/
Сообщение от анонии (?), 25-Авг-21, 21:30 
ловим флэшбеки с heartbleed
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +3 +/
Сообщение от Аноним (-), 25-Авг-21, 22:14 
Heartbleed гораздо опаснее и позволяла извлечь гораздо больше полезной информации из сайтов, так что без флэшбеков.
Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +1 +/
Сообщение от Аноним (11), 25-Авг-21, 22:05 
Парой переполнений больше, парой меньше - никто и не заметит, главное поигрались с void*****.
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от PnD (??), 26-Авг-21, 11:27 
И как вы предлагаете получать колбэки/разбирать структуры в "чистых" сях?
Разумеется, можно наделать "прокладок" и их стабилизировать. Но тут уж на выбор:
* Выжимаем всё до такта — получаем вот это с регулярными камингаутами^w выходами за границы и т.п. null dereference/double free. Пример: большинство библиотек (тормознутые почему-то не популярны). Knot, unbound (как примеры наличия способов писать достаточно чистый код без массовых "памперсов", но "дорого").

* Пишем фреймворк (берём чей-то) и заставляем всех в проекте им пользоваться. Поверхность атаки сокращается в разы, но всё ещё можно налажать во внутренней логике, умножаем лажу на мощь сей как продвинутого кроссассемблера. И да, разумеется результат медленнее (насколько-то). Пример: asterisk (как бы к нему не относились, там этот подход достаточно рельефно реализован). SSSD (трэш и угар, но таки тоже натянуто на фреймворк).

* Выносим всё что можно изолировать наружу и кодим на ЯП со встроенными защитами/гарантиями. Теряем в производительности/скорости разработки в зависимости от способа реализации гарантий. В прикладном софте это обычно совершенно оправдано. Проблемы начинаются при попытках потеснее работать с системными обвязками. Когда "слева" к вам приезжает не пойми что (к примеру, то ли ipv4 то ли ipv6 и там где-то в конце указатель на следующий элемент списка), а "справа" pascal|ada (к примеру, "хайповые" ЯП в той же лодке), то это таки "ой". И не разбираясь досконально в сишной "кухне" (а откуда, вы на этом изначально сэкономили, завязавшись на "прикладной" ЯП) что-то тут сделать очень непросто.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  –1 +/
Сообщение от Аноним (15), 25-Авг-21, 22:34 
>переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера.

Сами навязали своё говно бизнесу и населению вместо AES и CHACHA, сами же и огребли.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +2 +/
Сообщение от Аноним (-), 25-Авг-21, 22:46 
Уязвимость в

> коде с реализацией криптографического алгоритма

, так что виноваты тут только разработчики OpenSSL. А так не поспоришь, почти у каждого есть своя криптография, каждый надеется, что она хороша и почти у каждого она оказывается никудышна.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (35), 27-Авг-21, 03:45 
Да нет, чаще она всё-таки оказывается хороша
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +1 +/
Сообщение от Рач (?), 26-Авг-21, 02:46 
КНР молодцы, открыли дыру для мировых спецслужб.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +3 +/
Сообщение от Аноним (23), 26-Авг-21, 06:25 
Ничего кетайцы не открывали, просто первыми заметили и тихой сапой использовали дыру.
Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  –1 +/
Сообщение от Брат Анон (ok), 26-Авг-21, 09:23 
Пользуйтесь проверенной криптографией, говорили они. Безопасно на 146%, мы вам гарантируем это, говорили они.
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (3), 26-Авг-21, 10:52 
Ре-shit-о :(
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (31), 26-Авг-21, 14:42 
Не знаю, что они там правили, но после обновления у меня завязанное ПО на этом УГ перестало работать.
Пришлось выключать и включать пк, помогло.
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (32), 26-Авг-21, 15:54 
Ну если взглянуть на историю создания и мир из которого пришел openssl то ничего удивительного.

Но молодцы хоть исправили.

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +/
Сообщение от Аноним (-), 26-Авг-21, 17:04 
> Ну если взглянуть на
> мир из которого пришел openssl

Инопланетный камрад, OpenSSL был создан людьми на платформе Земля. Пока это малоразвитая цивилизация, которая даже на Rust с ошибками пишет, а чего вы хотите здесь?

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление OpenSSL 1.1.1l с устранением двух уязвимостей"  +1 +/
Сообщение от Онаним (?), 26-Авг-21, 21:32 
Пока это малоразвитая цивилизация, которая даже Rust с ошибками пишет

Fixed

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру