forum.opennet.ru - "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера" (24)

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"	+/–
Сообщение от opennews (?), 02-Окт-25, 10:45
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования. OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток OpenSSL 3.5 LTS, 3.4, 3.3, 3.2 и 3.0 LTS продлится до апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63979
Ответить \| Правка \| Cообщить модератору

Оглавление

Странно Местные эксперты говорили, что если обложить все статическими анализато, Аноним (2), 10:52 , 02-Окт-25, (2) –2

Никто не обкладывал , Аноним (11), 12:34 , 02-Окт-25, (11) +4
Скрыто модератором, Аноним (11), 12:35 , 02-Окт-25, (12) +2
а что, нельзя раскрой мысль, очень интересно, 12yoexpert (ok), 14:08 , 02-Окт-25, (20)
То просто проггер не о чем попался Вот настоящий сишник никогда не допустил это, Аноним (24), 15:00 , 02-Окт-25, (24) –2

Настоящий сишник что сферический конь, бывает только в вакууме , Аноним (25), 15:05 , 02-Окт-25, (25) –1

Никто и не обкладывал , Аноним (26), 15:09 , 02-Окт-25, (26)

Заголовок из разряда кликбейт Формально то оно так, но ничего вроде бы опасного, Аноним (3), 11:23 , 02-Окт-25, (3) +1

половина доходов опеннета давным давно идёт с растосрачей, 12yoexpert (ok), 14:09 , 02-Окт-25, (22)

kek_unwrap_key Fix incorrect check of unwrapped key size- if inlen size_t, Аноним (-), 11:30 , 02-Окт-25, (5) +2

Ты же не думаешь, что это случайно , Аноним (9), 11:50 , 02-Окт-25, (9) +2

Неужто вы намекаете, что все эти случайные ошибки настоящих сишников 8482 со, Аноним (16), 13:54 , 02-Окт-25, (16)
Тут вопрос скорее в другом У опенССЛьки есть спонсоры 1 Среди которых довольно , Аноним (-), 14:08 , 02-Окт-25, (21)

Все понимают, в чьих интересах Возможности отказаться у них нет , Аноним (9), 16:17 , 02-Окт-25, (27)

Зато есть LibreSSL, от группки известных паранойиков из OpenBSD но пользоваться , Аноним (29), 16:47 , 02-Окт-25, (29)

А толку Проблема также исправлена в обновлениях библиотеки LibreSSL 4 0 1 и 4 1, Аноним (-), 16:51 , 02-Окт-25, (30)

Сама по себе эта конструкция уже хороша size_t tmp 0 - 4 Но это в той части,, Аноним (14), 13:12 , 02-Окт-25, (14)

зачем HTTP клиент-то встраивать , Аноним (10), 12:01 , 02-Окт-25, (10) +1

может для oauth какого-нибудь это yблюдство сейчас много куда пихают , oauth отстой (?), 13:11 , 02-Окт-25, (13) +2
Official Ну и например,- в кроне проверять сертификаты на удаленных сервисах- п, OpenEcho (?), 13:54 , 02-Окт-25, (17)

Давно уже пора переименовать в OpenTLS, т к от SSL поддержки там давно уже ниче, OpenEcho (?), 13:48 , 02-Окт-25, (15) +1
Скрыто модератором, Аноним (28), 16:39 , 02-Окт-25, (28)
чтобы легче искать в памяти , Аноним (31), 16:55 , 02-Окт-25, (31)
Получается что они прям застряли в 90хВсе те улучшения, которые попали в сишку х, Анонимусс (-), 16:56 , 02-Окт-25, (32)

Сообщения [Сортировка по времени | RSS]

2. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." –2 +/–

Сообщение от Аноним (2), 02-Окт-25, 10:52

> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера
Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +4 +/–

Сообщение от Аноним (11), 02-Окт-25, 12:34

Никто не обкладывал.

Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором +2 +/–

Сообщение от Аноним (11), 02-Окт-25, 12:35

К сожалению, тебя ещё не обложили.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

20. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от 12yoexpert (ok), 02-Окт-25, 14:08

а что, нельзя? раскрой мысль, очень интересно

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

24. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." –2 +/–

Сообщение от Аноним (24), 02-Окт-25, 15:00

> Что-то пошло не так?
То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." –1 +/–

Сообщение от Аноним (25), 02-Окт-25, 15:05

Настоящий сишник что сферический конь, бывает только в вакууме

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (26), 02-Окт-25, 15:09

Никто и не обкладывал.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +1 +/–

Сообщение от Аноним (3), 02-Окт-25, 11:23

Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от 12yoexpert (ok), 02-Окт-25, 14:09

половина доходов опеннета давным давно идёт с растосрачей

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +2 +/–

Сообщение от Аноним (-), 02-Окт-25, 11:30

kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {
Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))
А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +2 +/–

Сообщение от Аноним (9), 02-Окт-25, 11:50

Ты же не думаешь, что это случайно.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (16), 02-Окт-25, 13:54

> Ты же не думаешь, что это случайно.
Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (-), 02-Окт-25, 14:08

Тут вопрос скорее в другом.
У опенССЛьки есть спонсоры [1]
Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2])
Им вообще норм, что бракоделы овнячат бекдоры?
Или они просто "в доле")
[1] openssl-foundation.org/about/sponsors/
[2] openssl-foundation.org/donate/premier/

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

27. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (9), 02-Окт-25, 16:17

Все понимают, в чьих интересах. Возможности отказаться у них нет.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (29), 02-Окт-25, 16:47

Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
но пользоваться ей большинство не хотят...

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (-), 02-Окт-25, 16:51

> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
А толку?
"Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD."
Дыры те же.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (14), 02-Окт-25, 13:12

Сама по себе эта конструкция уже хороша:
(size_t)(tmp[0] - 4))
Но это в той части, которой никто не пользуется и компиляцию которой вырубают.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +1 +/–

Сообщение от Аноним (10), 02-Окт-25, 12:01

> в реализации встроенного HTTP-клиента
зачем HTTP клиент-то встраивать?

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +2 +/–

Сообщение от oauth отстой (?), 02-Окт-25, 13:11

может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от OpenEcho (?), 02-Окт-25, 13:54

Official:
> It's intended for testing purposes only
Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +1 +/–

Сообщение от OpenEcho (?), 02-Окт-25, 13:48

> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS
Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось

Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором +/–

Сообщение от Аноним (28), 02-Окт-25, 16:39

Раст самый лудшый и бизапастный язык в мири!!!

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Аноним (31), 02-Окт-25, 16:55

> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные.
чтобы легче искать в памяти?

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..." +/–

Сообщение от Анонимусс (-), 02-Окт-25, 16:56

> требуется компилятор, совместимый со стандартом C-99
Получается что они прям застряли в 90х
Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны.
Ради чего они продолжают хвататься за этот копролит?
Даже ядро переехало на более новую версию языка!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	–2 +/–
Сообщение от Аноним (2), 02-Окт-25, 10:52
> Уязвимость может привести к записи и чтению данных вне выделенного буфера > уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+4 +/–
	Сообщение от Аноним (11), 02-Окт-25, 12:34
	Никто не обкладывал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. Скрыто модератором	+2 +/–
	Сообщение от Аноним (11), 02-Окт-25, 12:35
	К сожалению, тебя ещё не обложили.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	20. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от 12yoexpert (ok), 02-Окт-25, 14:08
	а что, нельзя? раскрой мысль, очень интересно
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	24. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	–2 +/–
	Сообщение от Аноним (24), 02-Окт-25, 15:00
	> Что-то пошло не так? То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	25. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	–1 +/–
	Сообщение от Аноним (25), 02-Окт-25, 15:05
	Настоящий сишник что сферический конь, бывает только в вакууме
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (26), 02-Окт-25, 15:09
	Никто и не обкладывал.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+1 +/–
Сообщение от Аноним (3), 02-Окт-25, 11:23
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от 12yoexpert (ok), 02-Окт-25, 14:09
	половина доходов опеннета давным давно идёт с растосрачей
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+2 +/–
Сообщение от Аноним (-), 02-Окт-25, 11:30
kek_unwrap_key(): Fix incorrect check of unwrapped key size - if (inlen < (size_t)(tmp[0] - 4)) { + if (inlen < 4 + (size_t)tmp[0]) { Прям топ-кек)) ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять)) А ведь openssl обмазана санитайзерами по самое немогу. И что? Помогли вам эти санитайзеры?))
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+2 +/–
	Сообщение от Аноним (9), 02-Окт-25, 11:50
	Ты же не думаешь, что это случайно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (16), 02-Окт-25, 13:54
	> Ты же не думаешь, что это случайно. Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны??? Но ведь они появляются практически в каждом проекте больше хеллоуволда! Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (-), 02-Окт-25, 14:08
	Тут вопрос скорее в другом. У опенССЛьки есть спонсоры [1] Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2]) Им вообще норм, что бракоделы овнячат бекдоры? Или они просто "в доле") [1] openssl-foundation.org/about/sponsors/ [2] openssl-foundation.org/donate/premier/
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	27. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (9), 02-Окт-25, 16:17
	Все понимают, в чьих интересах. Возможности отказаться у них нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (29), 02-Окт-25, 16:47
	Зато есть LibreSSL, от группки известных паранойиков из OpenBSD. но пользоваться ей большинство не хотят...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (-), 02-Окт-25, 16:51
	> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD. А толку? "Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD." Дыры те же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от Аноним (14), 02-Окт-25, 13:12
	Сама по себе эта конструкция уже хороша: (size_t)(tmp[0] - 4)) Но это в той части, которой никто не пользуется и компиляцию которой вырубают.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

10. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+1 +/–
Сообщение от Аноним (10), 02-Окт-25, 12:01
> в реализации встроенного HTTP-клиента зачем HTTP клиент-то встраивать?
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+2 +/–
	Сообщение от oauth отстой (?), 02-Окт-25, 13:11
	может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
	Сообщение от OpenEcho (?), 02-Окт-25, 13:54
	Official: > It's intended for testing purposes only Ну и например, - в кроне проверять сертификаты на удаленных сервисах - проверять поддержку протоколов
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору

15. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+1 +/–
Сообщение от OpenEcho (?), 02-Окт-25, 13:48
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось
Ответить \| Правка \| Наверх \| Cообщить модератору

28. Скрыто модератором	+/–
Сообщение от Аноним (28), 02-Окт-25, 16:39
Раст самый лудшый и бизапастный язык в мири!!!
Ответить \| Правка \| Наверх \| Cообщить модератору

31. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
Сообщение от Аноним (31), 02-Окт-25, 16:55
> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные. чтобы легче искать в памяти?
Ответить \| Правка \| Наверх \| Cообщить модератору

32. "Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."	+/–
Сообщение от Анонимусс (-), 02-Окт-25, 16:56
> требуется компилятор, совместимый со стандартом C-99 Получается что они прям застряли в 90х Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны. Ради чего они продолжают хвататься за этот копролит? Даже ядро переехало на более новую версию языка!
Ответить \| Правка \| Наверх \| Cообщить модератору