OpenForum RSS: Критическая уязвимость в OpenSSL https://m.opennet.dev/openforum/vsluhforumID3/84183.html В экстренном порядке выпущены (http://openssl.org) корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость (http://openssl.org/news/secadv_20120419.txt), которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника. <br><br><br><br>Проблема выявлена (http://seclists.org/fulldisclosure/2012/Apr/210) группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux (http://www.mandriva.com/en/support/security/advisories/?dis=2011&name=MDVSA-2012:060), проследить за выходом обновлений для других популярных дистр Критическая уязвимость в OpenSSL (Kibab) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#212 Wed, 25 Apr 2012 06:31:17 GMT &gt; надеюсь<br><br>Дальше не читал<br><br> Критическая уязвимость в OpenSSL (Kibab) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#211 Wed, 25 Apr 2012 06:29:02 GMT Школота, сначала разберись в разнице между OpenSSL и OpenSSH, а потом придёшь и расскажешь, какое это отношение OpenSSL имеет к OpenBSD :-)<br> Критическая уязвимость в OpenSSL (Кирилл) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#210 Mon, 23 Apr 2012 06:38:04 GMT Всё это оплачивается рекламодателями, а значит опосредованно, через долю на рекламу и продвижение в себестоимости, потребителями.<br> Критическая уязвимость в OpenSSL (дон педро) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#207 Sun, 22 Apr 2012 17:43:53 GMT Этой дыре минимум 6 лет.<br> Критическая уязвимость в OpenSSL (szh) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#206 Sun, 22 Apr 2012 16:49:53 GMT поиск бесплатен<br>хром бесплатен<br>андроид бесплатен<br>гмейл бесплатен<br><br>P.S. решение гугла не станет универсальным, если не будет бесплатным.<br> Критическая уязвимость в OpenSSL (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#205 Sun, 22 Apr 2012 15:35:51 GMT &gt; Не хотят напрягаться для разного быдла. Сорри, вырвалось.<br><br>А ты бы стал напрягаться для всяких там манагеров? Результат труда тебе не принадлежит. У тебя его все-равно отнимают. А зарплату и так дадут - зачем работать лучше? Проприерасы почему-то никак не могут понять что эта их жаба их же и похоронит в результате, естественными методами. Причинно-следственные связи будут примерно как для отмирания рабовладения, плюс-минус лапоть :)<br><br> Критическая уязвимость в OpenSSL (Michael Shigorin) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#204 Sun, 22 Apr 2012 10:04:05 GMT &gt; но хотелось бы послушать того человека.<br><br>Простите, тот человек вчерась упорно гнал и не вменялся. Пришлось зачистить. :(<br><br>Боюсь, не расскажет он такой методики.<br> Критическая уязвимость в OpenSSL (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#203 Sun, 22 Apr 2012 02:29:16 GMT &gt;&gt; А вы с ним работали?<br>&gt; Я его коменты и посты видел. Вполне достаточно.<br><br>мне лениво это комментировать, да и как-то пофигу, nuclight сам ответит, если пожелает, но прежде чем нападать, сами себя деанонимизируйте, что бы мы посмотрели, какой вы крутой перец.<br><br>&gt;&gt; Сейчас, кстати, хорошо видно только ваше ЧСВ...<br>&gt; Вы не дружите с головой? ЧСВ - попытка набить себе цену. А <br>&gt; тут 100500 таких же ходит - набить себе цену по определению <br>&gt; не выйдет. Какой смысл в чсв у анонима? :) <br><br>Я головой, и ее содержимым, пользуюсь по назначению. И сейчас, пользуясь головой по назначению, я вижу что вы себе набиваете цену через опускание других, причем кричите спрятавшись за анонима, что не этично, по крайней мере.<br> Критическая уязвимость в OpenSSL (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/84183.html#202 Sun, 22 Apr 2012 02:22:35 GMT &gt;&gt;&gt; А как назвать человека который будет доверять библиотеке Openssl?<br>&gt;&gt; альтернатива есть?<br>&gt; Есть gnutls: <br>&gt; http://secunia.com/advisories/product/38762/?task=statistics <br>&gt; http://secunia.com/advisories/product/30216/?task=statistics <br>&gt; Почему-то "шпециалист" упомянул CAPI, но не его. Наверное, в силу объективности. <br><br>Про gnutls мы знаем, но хотелось бы послушать того человека. Интересно же услышать о том, что gnutls наряду с openssl - бездарные поделки, т.к. имеют открытый код, и какие есть таки не бездарные поделки и как можно самостоятельно проверить их на небездарность.<br>