https://www.opennet.ru/openforum/vsluhforumID3/123295.html Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1j, в котором устранены две уязвимости:...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54601<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#26 Thu, 18 Feb 2021 20:51:13 GMT CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.<br><br>OpenSSL 1.1.1 does not have SSLv2 support and therefore is not vulnerable to<br>this issue.<br><br><br>соотв оно не исправлялось.. исправдлено 2, найдено три, но одна в старой версии, которая в новой нихт арбайтн без исправления.<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#25 Thu, 18 Feb 2021 11:57:32 GMT Вы там возьмите уже мечи и порубитесь, чтоли, на арене за то как правильно. Мувик не забудь выложить (если выживешь).<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#24 Thu, 18 Feb 2021 10:14:43 GMT Дурацкие требования к владельцам патентов.<br>Сделанные исключительно с целью ублажить гнусь.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#23 Thu, 18 Feb 2021 10:03:15 GMT &gt; то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.<br><br>читать - да. После того как их прочитают многие нехорошие васяны.<br><br>А исправлять - ну, тут возможны варианты.<br><br>Ок, с X509, похоже, они действительно успели вовремя:<br>https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/x509/x509_cmp.c.diff?r1=1.23&r2=1.24&f=h<br><br>это исправление из тех времен, когда мне еще казалось что от этой деятельности есть толк.<br><br>&gt; И да, никто никого не заставляет тратить время на libressl. <br><br>Я, собственно, и не трачу, и изумляюсь только что кто-то еще рискует ей пользоваться.<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#22 Thu, 18 Feb 2021 01:18:55 GMT &gt; Ну раз даже тебе уже по барабану - мне еще больше по <br>&gt; барабану.<br><br>Ты не поверишь: по барабану.<br>В отличие от тебя я не сомневаюсь, что раз у нас с тобой хватает ума сравнивать openssl и libressl, то и у разработчиков libressl хватает мозгов, чтобы читатьCVE'шки openssl.<br>Так что хочешь - ищи, не хочешь - не ищи, от этого ничего не изменится, особенно для меня.<br><br>&gt; Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить <br>&gt; одну-единственную функцию не Б-г весть какая наука.<br><br>Эм.<br>https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/#dirlist - lib{ssl,tls}<br>Но на самом деле тебе надо было написать в гугле libressl portable и перейти по первой ссылке.<br><br>&gt; Но после нескольких показательных факапов и найденных мной лично грабель с заметанием <br>&gt; крошек под ковер - мне просто перестало быть интересно, что там <br>&gt; происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же <br>&gt; ssl но без багов" сфейлилась с самого начала.<br><br>Угу, истинна данная тебе в ощущениях. Жаль, что кроме твоих ощущени https://www.opennet.ru/openforum/vsluhforumID3/123295.html#21 Thu, 18 Feb 2021 01:04:16 GMT Что не так с Apache 2.0?<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#19 Wed, 17 Feb 2021 14:39:22 GMT Ну раз даже тебе уже по барабану - мне еще больше по барабану.<br><br>Скачать обе версии (раз уж у вас нет нормального cvsweb) и сравнить одну-единственную функцию не Б-г весть какая наука.<br><br>Но после нескольких показательных факапов и найденных мной лично грабель с заметанием крошек под ковер - мне просто перестало быть интересно, что там происходит. Идея "вырежем-вырежем все `лишнее` и будет чудо - та же ssl но без багов" сфейлилась с самого начала.<br><br>Нет смысла дальше тратить время на васянскую поделку. Тем более что они полезли в область, точно не предназначенную для васянов - и выбора у них нет из-за измененной лицензии.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#18 Wed, 17 Feb 2021 14:13:28 GMT &gt; А если найду?!<br><br>Найди, лично я спасибо скажу (хотя мне скорее по барабану).<br><br>&gt; А все реально существенные проблемы - найдутся в обоих списках. Ни одного <br>&gt; васянский форк не избежал, поскольку не с этими руками и не <br>&gt; этой квалификацией.<br><br>Я уже как-то тебе здесь же на опеннете сравнительный список приводил, в сообщении выше - ещё одно сравнение.<br><br>А то, что libressl не лишён дыр в принципе - сорян, мы живём в реальном мире, где софт пишут люди, а не боги.<br> https://www.opennet.ru/openforum/vsluhforumID3/123295.html#17 Wed, 17 Feb 2021 13:54:55 GMT &gt; Впрочем, о чём я, это же камент к новости про уязвимости, которые есть в openssl и которых нет в<br>&gt; libre...<br><br>А если найду?!<br>Хотя да, то что доступ к исходникам старательно сделан через полную задницу, безусловно делает их 100% надежными и васяноупорными.<br><br>То что никто и не чешется заводить отдельные cve на васян-форк, кроме совсем уж фееричных, не означает, что там этих проблем нет.<br><br>Но ты, конечно же, уже сравнил реализации X509_issuer_and_serial_hash чтобы делать далекоидущие выводы? Я вот практически уверен что обе они родом из ssleay 96го года.<br><br>А все реально существенные проблемы - найдутся в обоих списках. Ни одного васянский форк не избежал, поскольку не с этими руками и не этой квалификацией.<br>