https://opennet.me/openforum/vsluhforumID3/116591.html В открытой криптографической библиотеке MatrixSSL (https://github.com/matrixssl/matrixssl), рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена (https://seclists.org/oss-sec/2019/q1/137) уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569 (https://security-tracker.debian.org/tracker/CVE-2014-1569)) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту (https://github.com/FiloSottile/BERserk) для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала (https://www.mcafee.com/enterprise/en-us/threat-center/advanced-threat-research/crypto-software.html), что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и https://opennet.me/openforum/vsluhforumID3/116591.html#13 Sat, 16 Feb 2019 19:16:37 GMT Многие разработчики свободного программного обеспечения получают за это зарплату. Кто не получает - делают это из альтруистических соображений или ради будущего трудоустройства<br> https://opennet.me/openforum/vsluhforumID3/116591.html#12 Sat, 16 Feb 2019 17:38:11 GMT &gt; для встраиваемых устройств - слишком жирно<br><br>надеюсь ты щаз говоришь не про те встраиваемые устройства, которые с гигобайтом оперативной памяти :-) <br> https://opennet.me/openforum/vsluhforumID3/116591.html#11 Sat, 16 Feb 2019 12:29:05 GMT Обоснуйте свою точку зрения.<br> https://opennet.me/openforum/vsluhforumID3/116591.html#10 Sat, 16 Feb 2019 02:41:30 GMT Зачем бесплатно? Свободное != бесплатное.<br> https://opennet.me/openforum/vsluhforumID3/116591.html#9 Fri, 15 Feb 2019 23:59:44 GMT &gt; почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки<br><br>Лично у меня libssl занимает на диске 3,5 Мб (только so, без утилит). Для десктопа/сервера норм, для встраиваемых устройств - слишком жирно. Есть mbedtls и другие компактные библиотеки, но кто-то когда-то, видимо, выбрал matrixssl из всего многообразия. Вот и тянется легаси-след во всяких железках.<br> https://opennet.me/openforum/vsluhforumID3/116591.html#8 Fri, 15 Feb 2019 23:51:43 GMT Никогда не понимал этой лажи со свободным программным обеспечением. Разве программы - это не плод интеллектуального труда за который принято платить или прикажете пахать бесплатно и на сообщество?<br> https://opennet.me/openforum/vsluhforumID3/116591.html#6 Fri, 15 Feb 2019 13:19:43 GMT &gt; кто вообще знает про существование этого matrxssl ?<br>&gt; кто является клиентами? <br><br>Оно как суслик -- вроде бы ни разу в жизни не видел, но &#8230;<br>&gt; Lightweight Embedded SSL/TLS Implementation for IoT Devices - matrixssl/ matrixssl<br><br>Говорят, intel, canon, d-link:<br>http://forums.dlink.com/index.php?topic=73920.0<br>&gt; Upgrade MatrixSSL to v3.9.3 that resolve the vulnerabilities in MatrixSSL<br><br>там лицензия дуальная, gpl-проприетарная, так что &#8230;<br> https://opennet.me/openforum/vsluhforumID3/116591.html#4 Fri, 15 Feb 2019 12:48:26 GMT кто вообще знает про существование этого matrxssl ?<br><br>кто является клиентами? почему нельзя было воспользоваться nss или openssl? вместо никому не известной штуки<br> https://opennet.me/openforum/vsluhforumID3/116591.html#2 Fri, 15 Feb 2019 12:07:51 GMT &gt; уязвимость,<br>&gt; SSL<br>&gt; в 2014 году <br>&gt; Intel <br>&gt; CVE-2014-1569<br>&gt; Mozilla<br>&gt; в 2014 году, Карл!<br>&gt; до 15.02.2019 10:32 всем пос*ать, даже Снудену и СтолЛману...<br>&gt; переполнению буфера при обработке специально оформленных сертификатов X.509<br><br>ни тебе Spectre, ни тебе анклавы... хакеры мира с Notepad.exe<br><br>&gt; лежащей в основе коммерческого продукта<br><br>за что люди платят?) Свободные программы не хуже)<br>