Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1l с устранением двух уязвимостей:...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55683

• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 21:05 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Rev, 21:11 , 25-Авг-21
    • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 21:15 , 25-Авг-21
      • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Alladin, 22:07 , 25-Авг-21
        • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 23:31 , 25-Авг-21
    • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Ольбертович, 21:20 , 25-Авг-21
      • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Alladin, 22:08 , 25-Авг-21
        • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Ольбертович, 02:09 , 26-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Хан, 21:25 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 22:57 , 25-Авг-21
    • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 23:31 , 25-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 21:10 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 02:29 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 21:29 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 21:36 , 25-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,анонии, 21:30 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 22:14 , 25-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 22:05 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,PnD, 11:27 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 22:34 , 25-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 22:46 , 25-Авг-21
    • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 03:45 , 27-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Рач, 02:46 , 26-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 06:25 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Брат Анон, 09:23 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 10:52 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 14:42 , 26-Авг-21
• Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 15:54 , 26-Авг-21
  • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Аноним, 17:04 , 26-Авг-21
    • Обновление OpenSSL 1.1.1l с устранением двух уязвимостей,Онаним, 21:32 , 26-Авг-21

Когда на Golang перепишут?

Чтобы весило 100МБ? На Расте надо писать, там за границу памяти нельзя будет вылезти. (Если писать не жопой).

Да зачем, в голанге же можно экономно память выделять, если ушами не хлопать. Да и удобный профилировщик есть, еси что

В GoLang экономно память, с GC?)) С вами все хорошо?)

Так ну просто не создавать лишних данных и всё. А ГЦ - ГЦ это к тому, что подчищает сам, но причем здесь повышенный расход?

Зачем он нужон, этот раст? Очередной 'нескучный' frontend под llvm

Ок, я тоже так напишу.
C++ это нескучный фронтенд к GC/LLVM.
А Java это нескучный фронтенд к JVM:)))))

Драсте, g++ от llvm не зависит, ибо сам компилятор

Растоманы гошников покусали чтоли, что и эти все собрались переписывать? Или это крипторастаман прячущийся за Go?

> Когда на Golang перепишут?

зачем вам этот тяжёлый Голанг? Перепишите на Паскале. Там массив переполнить нельзя, нам учительница говорила.

Что тяжелого-то, голанг легковесный язык, пусть и с ГЦ

Молодцы что исправили.

Гораздо сложнее не допускать, чем по пути исправлять.

> Одновременно выпущены новые версии библиотеки LibreSSL 3.3.4 и 3.2.6, в которых явно не упоминается об уязвимостях, но судя по списку изменений устранена уязвимость CVE-2021-3712.

Ну вообще то они её и нашли, уязвимость эту:

"An initial instance of this issue in the X509_aux_print() function was reported
to OpenSSL on 18th July 2021 by Ingo Schwarze. The bugfix was developed by Ingo
Schwarze and first publicly released in OpenBSD-current on 10th July 2021 and
subsequently in OpenSSL on 20th July 2021 (commit d9d838ddc). Subsequent
analysis by David Benjamin on 17th August 2021 identified more instances of the
same bug. Additional analysis was performed by Matt Caswell. Fixes for the
additional instances of this issue were developed by Matt Caswell."

А SM2 там пока и нет: https://github.com/libressl-portable/portable/issues/636

ловим флэшбеки с heartbleed

Heartbleed гораздо опаснее и позволяла извлечь гораздо больше полезной информации из сайтов, так что без флэшбеков.

Парой переполнений больше, парой меньше - никто и не заметит, главное поигрались с void*****.

И как вы предлагаете получать колбэки/разбирать структуры в "чистых" сях?
Разумеется, можно наделать "прокладок" и их стабилизировать. Но тут уж на выбор:
* Выжимаем всё до такта — получаем вот это с регулярными камингаутами^w выходами за границы и т.п. null dereference/double free. Пример: большинство библиотек (тормознутые почему-то не популярны). Knot, unbound (как примеры наличия способов писать достаточно чистый код без массовых "памперсов", но "дорого").

* Пишем фреймворк (берём чей-то) и заставляем всех в проекте им пользоваться. Поверхность атаки сокращается в разы, но всё ещё можно налажать во внутренней логике, умножаем лажу на мощь сей как продвинутого кроссассемблера. И да, разумеется результат медленнее (насколько-то). Пример: asterisk (как бы к нему не относились, там этот подход достаточно рельефно реализован). SSSD (трэш и угар, но таки тоже натянуто на фреймворк).

* Выносим всё что можно изолировать наружу и кодим на ЯП со встроенными защитами/гарантиями. Теряем в производительности/скорости разработки в зависимости от способа реализации гарантий. В прикладном софте это обычно совершенно оправдано. Проблемы начинаются при попытках потеснее работать с системными обвязками. Когда "слева" к вам приезжает не пойми что (к примеру, то ли ipv4 то ли ipv6 и там где-то в конце указатель на следующий элемент списка), а "справа" pascal|ada (к примеру, "хайповые" ЯП в той же лодке), то это таки "ой". И не разбираясь досконально в сишной "кухне" (а откуда, вы на этом изначально сэкономили, завязавшись на "прикладной" ЯП) что-то тут сделать очень непросто.

>переполнение буфера в коде с реализацией криптографического алгоритма SM2 (распространён в Китае), позволяющее из-за ошибки в расчёте размера буфера перезаписать до 62 байт в области за границей буфера.

Сами навязали своё говно бизнесу и населению вместо AES и CHACHA, сами же и огребли.

Уязвимость в

> коде с реализацией криптографического алгоритма

, так что виноваты тут только разработчики OpenSSL. А так не поспоришь, почти у каждого есть своя криптография, каждый надеется, что она хороша и почти у каждого она оказывается никудышна.

Да нет, чаще она всё-таки оказывается хороша

КНР молодцы, открыли дыру для мировых спецслужб.

Ничего кетайцы не открывали, просто первыми заметили и тихой сапой использовали дыру.

Пользуйтесь проверенной криптографией, говорили они. Безопасно на 146%, мы вам гарантируем это, говорили они.

Ре-shit-о :(

Не знаю, что они там правили, но после обновления у меня завязанное ПО на этом УГ перестало работать.
Пришлось выключать и включать пк, помогло.

Ну если взглянуть на историю создания и мир из которого пришел openssl то ничего удивительного.

Но молодцы хоть исправили.

> Ну если взглянуть на
> мир из которого пришел openssl

Инопланетный камрад, OpenSSL был создан людьми на платформе Земля. Пока это малоразвитая цивилизация, которая даже на Rust с ошибками пишет, а чего вы хотите здесь?

Пока это малоразвитая цивилизация, которая даже Rust с ошибками пишет

Fixed