OpenForum RSS: Критическая уязвимость в&nbsp;&nbsp;OpenSSL 1.1.0a https://slinkov.ru/openforum/vsluhforumID3/109223.html В изменениях, внесённых в опубликованном (https://www.opennet.ru/opennews/art.shtml?num=45195) на прошлой неделе обновлении криптографической библиотеки OpenSSL 1.1.0a, выявлена (https://mta.openssl.org/pipermail/openssl-announce/2016-September/000083.html) критическая уязвимость (CVE-2016-6309 (https://security-tracker.debian.org/tracker/CVE-2016-6309)), которая потенциально может привести к выполнению кода злоумышленника при обработке отправленных им пакетов. Всем пользователям ветки OpenSSL 1.1.0 рекомендуется срочно обновить OpenSSL до версии 1.1.0b (https://mta.openssl.org/pipermail/openssl-announce/2016-September/000082.html). Уязвимость выявлена сотрудниками Google при проведении fuzzing-тестирования нового выпуска инструментом honggfuzz (https://github.com/google/honggfuzz).<br><br><br>Проблема присутствует в выпуске OpenSSL 1.1.0a в коде устранения уязвимости CVE-2016-6307 и проявляется при получении сообщения, размером больше 16 Кб, в ситуации перераспределения и перемещения буфера, отведённого для поступ Критическая уязвимость в  OpenSSL 1.1.0a (Michael Shigorin) https://slinkov.ru/openforum/vsluhforumID3/109223.html#117 Thu, 29 Sep 2016 16:55:23 GMT &gt; А, так речь про D... Тогда все эти комментарии надо потереть.<br><br>Если какие-либо Ваши потеряли смысл после уточнения -- приведите их номера, пожалуйста.<br> Критическая уязвимость в  OpenSSL 1.1.0a (yaa) https://slinkov.ru/openforum/vsluhforumID3/109223.html#116 Thu, 29 Sep 2016 16:46:11 GMT А, так речь про D... Тогда все эти комментарии надо потереть.<br> Критическая уязвимость в  OpenSSL 1.1.0a (Аноним) https://slinkov.ru/openforum/vsluhforumID3/109223.html#115 Thu, 29 Sep 2016 13:26:56 GMT https://github.com/dlang/phobos/blob/master/std/typecons.d#L5016<br>Ну...<br> Критическая уязвимость в  OpenSSL 1.1.0a (yaa) https://slinkov.ru/openforum/vsluhforumID3/109223.html#114 Thu, 29 Sep 2016 08:23:12 GMT &gt; Может стоит сначала открыть исходники и посмотреть прежде чем писать?<br><br>Именно так. Вам стоит таки открыть исходники.<br> Критическая уязвимость в  OpenSSL 1.1.0a (Аноним) https://slinkov.ru/openforum/vsluhforumID3/109223.html#113 Thu, 29 Sep 2016 08:08:11 GMT Может стоит сначала открыть исходники и посмотреть прежде чем писать?<br>Или объяснить принцип работы GC и как память выделенная внутри объекта завёрнутого в смартпоинтер отслеживается сборщиком?<br> Критическая уязвимость в  OpenSSL 1.1.0a (anonymous) https://slinkov.ru/openforum/vsluhforumID3/109223.html#112 Thu, 29 Sep 2016 06:35:30 GMT Бред. ""_ptr's (и smart_ptr) не имеют к GC никакого отношения. Все сводится к подсчету ссылок (ну, и определённые гарантии по жизненному циклу объектов).<br> Критическая уязвимость в  OpenSSL 1.1.0a (Аноним) https://slinkov.ru/openforum/vsluhforumID3/109223.html#111 Thu, 29 Sep 2016 05:47:42 GMT &gt; stack overflow<br><br>Может случиться в любой программе на любом языке, от незнания\криворукости\усталости программера. Просто в C++\Java она выкинет эксепшн, только и всего.<br> Критическая уязвимость в  OpenSSL 1.1.0a (Аноним) https://slinkov.ru/openforum/vsluhforumID3/109223.html#110 Thu, 29 Sep 2016 05:45:43 GMT &gt; То ли дело Java программисты.<br>&gt; Только вперёд! Если класс, то NullPointerException<br>&gt; Без всякой зарплаты! За идею!<br><br>Не удержался.<br> Критическая уязвимость в  OpenSSL 1.1.0a (Аноним) https://slinkov.ru/openforum/vsluhforumID3/109223.html#109 Thu, 29 Sep 2016 01:31:29 GMT &gt; ага и касперский не пишет вирусы )))<br><br>fix<br>