OpenForum RSS: Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... https://mobile.opennet.me/openforum/vsluhforumID3/109585.html Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=147849220208015&w=2) корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610 (https://security-tracker.debian.org/tracker/CVE-2016-8610)), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx. <br><br><br>Проблема проявляется (https://bugzilla.redhat.com/show_bug.cgi?id=1384743) не только в LibreSSL, но и в OpenSSL и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6 (https://lists.gnupg.org/pipermail/gnutls-devel/2016- Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Led) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#20 Tue, 08 Nov 2016 21:09:26 GMT &gt; Это жулики.<br><br>Об этом можно легко догадаться по тому, кто рекламирует их здесь.<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#19 Tue, 08 Nov 2016 19:28:40 GMT &gt; Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что <br>&gt; это "не то" <br><br>Народ догадывается что проприетарный протокол с отчислениями и какими-то специальными программами - не торт? :)<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#18 Tue, 08 Nov 2016 19:23:38 GMT &gt; Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем <br>&gt; счастье. Прокачка трафика увеличится на 90% с полным шифрованием.<br>&gt; Ура товарищи!<br>&gt; http://http-ss.com/ <br><br>Так, минуточку. А эти гламурные кикстартеры вообще хоть что-то смыслят в крипто? Или ты заранее орешь "ура!" на всякий случай, как истинный комсомолец?<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#17 Tue, 08 Nov 2016 19:20:38 GMT Если у вас мегазы кода работающие с данными из сети - ну вы поняли. В этих либах полно легаси и костылей, уйма способов сделать соединение не безопасным "для совместимости" даже не поняв этого и просто дико переусложненные протоколы в количестве полудюжины опций. Как это может на зафэйлить? Нет, раст не поможет если надо релизовать полдюжины навороченных протоколов с дурными опциями на все случаи жизни. Фэйспалм случится даже если написать на питоне. А в случае брейнфака надежда только на то что хакеры сойдут с ума быстрее чем разрабочтики.<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Куяврег) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#14 Tue, 08 Nov 2016 11:45:56 GMT &gt; И центры сертификации!!<br><br>куда же без них! в них самая безопасность и гнездицца!<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#13 Tue, 08 Nov 2016 09:33:19 GMT Это жулики. Они хотят получать отчисления за использование, причём на уровне 1 доллара в месяц на каждой устройство (http://http-ss.com/Pre_Sales_Consumer.html). И никакой это не протокол, а типа совмещения VPN с кэширующим прокси. Требует установки отдельных программ на сервер и на компьютер клиента.<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#12 Tue, 08 Nov 2016 09:26:36 GMT &gt; Забейте уже на HTTPS. В феврале релизнется протокол HTTP-SS и будет всем <br><br>Вы всерьёз считайте, что в современном интернете взлетит проприетарный протокол?<br>И вообще, всё это очень походит на троллинг в стиле архиватора Бабушкина. Сочетание "SS" в названии немецкой компании только усиливает это подозрение.<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#11 Tue, 08 Nov 2016 09:06:32 GMT Насобирали 400 баксов из запланированных 220 000, на страничка PreSale намекает что это "не то"<br> Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением... (Andrey Mitrofanov) https://mobile.opennet.me/openforum/vsluhforumID3/109585.html#10 Tue, 08 Nov 2016 08:34:17 GMT &gt; И что, библиотеки шифрования в нём будут другие?<br><br>И центры сертификации!! Там же ж даже Интернет будет другой! #нереклама<br>