URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137978
[ Назад ]
Исходное сообщение
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"
Отправлено opennews , 02-Окт-25 10:45 
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования.  OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.5 LTS, 3.4, 3.3, 3.2  и 3.0 LTS продлится до  апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63979

Содержание
Сообщения в этом обсуждении
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 10:52 
> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера

Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 12:34 
Никто не обкладывал.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 12:35 
К сожалению, тебя ещё не обложили.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:23 
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:30 
kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {

Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))

А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:50 
Ты же не думаешь, что это случайно.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 13:54 
> Ты же не думаешь, что это случайно.

Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 13:12 
Сама по себе эта конструкция уже хороша:

(size_t)(tmp[0] - 4))

Но это в той части, которой никто не пользуется и компиляцию которой вырубают.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 12:01 
>  в реализации встроенного HTTP-клиента

зачем HTTP клиент-то встраивать?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено oauth отстой , 02-Окт-25 13:11 
может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено OpenEcho , 02-Окт-25 13:54 
Official:
> It's intended for testing purposes only

Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено OpenEcho , 02-Окт-25 13:48 
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS

Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось