forum.opennet.ru

"Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержи..."	+/–
Сообщение от Аноним (-), 10-Фев-23, 05:32
Автоматизация потом приводит к тому что кодер начинает считать что за него подумает вон то. И в какой-то момент продалбывает все и вся. Most dangerous time is when you feel yourself safe. Ну вон матрикс. Такой из себя безопасный, только end to end crypto сломали. В их дефолтной либе которую они всем раздавали. А после этого все остальное как-то уже и не важно, они провалили свое основное обещание. Кого на этом фоне мелочи волнуют? Впрочем openssl не лучше: это плохая либа, деланая дилетантами в крипто, которые к тому же не разу не безопасники, зато упертыне на реализации всех фич SSL/TLS. Достаточно фатальное сочетание, т.к. гарантирует жесткий багодром.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти, opennews, 08-Фев-23, 14:59 [смотреть все]

классика, полуфрактал, 08-Фев-23, 14:59 (1) //
- Опять сишники ненастоящими оказались , Аноним, 08-Фев-23, 15:15 (10) //
  - Вас послушать, так единственные проблемы с уязвимостью - сишные дырени и структу, kusb, 08-Фев-23, 16:33 (38) //
    - , kusb, 08-Фев-23, 16:41 (42)
    - Не единственные, но по статистике уязвимостей проблемы с памятью занимают в райо, Аноним, 08-Фев-23, 16:47 (44)
      - Так это потому что весь системный софт пишется в основном на C и C Странно, чт, _kp, 08-Фев-23, 20:21 (111)
      - Не-не, там была четкая формулировка 70 of the vulnerabilities Microsoft assig, Аноним, 08-Фев-23, 22:28 (128)
        
        Он так и написал А еще у Linux Foundation, и Google Chrome схожий процент , Аноним, 12-Фев-23, 19:39 (220)
    - Все очень просто, это криптографические библиотеки, которые, в числе прочего, до, asdasd, 08-Фев-23, 17:16 (68)
      - Возможно потому что они должны быть сначала надежными, а потом быстрыми А не нао, Анонн, 08-Фев-23, 17:47 (72)
        
        Нет Медленные не нужны , Аноним, 09-Фев-23, 06:43 (144)
      - вынужден тебя огорчить, дыра ни разу не в оптимизированном коде и быстрым ему бы, пох., 08-Фев-23, 19:51 (107)
  - то то у несуществующих проектов - ни одной уязвимости нет, ihatenpm, 08-Фев-23, 18:18 (83) //
    - чаво это несуществующих Я уже и CoC закомитил, и readme md , пох., 08-Фев-23, 19:47 (106)
    - Всего тебе https ossrank com p 506-rustdesk page 1наилучшего, Аноним, 12-Фев-23, 19:47 (221)
Повторюсь Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяют, another_one, 08-Фев-23, 15:00 (2) //
- там просто неправильные С программерыкак говорил автор 14 вариантов инициализаци, annonn, 08-Фев-23, 15:13 (8) //
  - 14 вариантов в плюсах, где автоматическое управление памятью больше 10 лет как у, Аноним, 08-Фев-23, 17:01 (58) //
    - Может уже auto писать, а не ручками 14 раз Я хоть и автор но понимаю толк в инц, Бьярн Страуструп, 08-Фев-23, 19:19 (104)
      - Просто все 14-ть - с ошибками, повторяющимися в проектах Вероятно , A, 08-Фев-23, 21:28 (118)
    - А ошибки всё те же, что и в Си , Аноним, 09-Фев-23, 08:13 (147)
  - золотые слова, мишютка, 11-Фев-23, 12:24 (218)
  - Мышки, станьте ёжиками , САВА, 13-Фев-23, 15:15 (222)
- Так LibreSSL это форк OpenSSL, но с чисткой от устаревшего кода В новости одна , Аноним, 08-Фев-23, 15:28 (16) //
  - Это не совсем так, nmorozov, 09-Фев-23, 09:23 (157)
Тёплое с мягким , ryoken, 08-Фев-23, 15:05 (3) //
- си и раст, полуфрактал, 08-Фев-23, 15:09 (5)
- типобезопастноть, зочем нам главное скорость и пофиг что у пол интернета будет , annonn, 08-Фев-23, 15:12 (7) //
  - У пол-интернета дырень в прокладке между стулом и клавиатурой, дыра в шифровании, анон, 08-Фев-23, 15:32 (18) //
    - великолепная идея аналогично можно сказать про автомобили и прокладкой между рул, animenimus, 08-Фев-23, 15:37 (21)
      - Предлагаю выкинуть всех костяных мешков с этой планеты в космос для оптимизации , анон, 08-Фев-23, 15:53 (31)
      - Так, прекрати подсказывать автотазу Он уже и так половину твоего бизнес-плана р, пох., 08-Фев-23, 19:53 (108)
        
        Спасибо Сегодня Вы в ударе , Аноним, 09-Фев-23, 14:59 (184)
      - Современные машины умеют сами останавливаться если водитель от страха лицо рукам, Аноним, 09-Фев-23, 08:18 (148)
        
        И старые тоже умели Достаточно тяжёлое препятствие решает проблему на раз , Омномним, 09-Фев-23, 15:06 (187)
мва-хаха они что решили собрать все возможные типичные баги воистину в слове CV, annonn, 08-Фев-23, 15:09 (6) //
- Любители батплагов молчать , Вы забыли заполнить поле Name, 08-Фев-23, 16:58 (55) //
  - А то, они же в школе маятся и на парах я удаленщик работаю когда хочу, если что, ihatenpm, 08-Фев-23, 18:20 (84)
- это у тебя кристалл глупости сформирован фанатичными представлениями об идеально, ihatenpm, 08-Фев-23, 18:22 (86)
- Ну и где ваш rustssl то , Аноним, 08-Фев-23, 22:03 (122) //
  - https github com rustls rustls, Аноним, 09-Фев-23, 08:20 (149) //
    - Rustls is a modern TLS library written in Rust It uses ring for cryptography an, Аноним, 09-Фев-23, 10:25 (161)
      - Обертка над оберткой над форком той же самой OpenSSL, в общем , Аноним, 10-Фев-23, 07:44 (212)
Господи, как же это прекрасно Прсто бинго типичного секьюрного проекта на сишеч, Аноним, 08-Фев-23, 15:14 (9) //
- А статистический анализатор уровня выполнения справился бы с тем, чтобы найти эт, kusb, 08-Фев-23, 16:37 (40) //
  - Стати 769 ческий ана 769 лиз ко 769 да англ static code analysis 8212 а, Аноним, 09-Фев-23, 08:24 (150) //
    - Все изобретено уже давно,просто в железе на это забили - потенциальная адресация, maximnik0, 09-Фев-23, 09:45 (160)
      - А это точно будет работать быстрее чем java c и go В java вместо указателей str, Аноним, 09-Фев-23, 11:53 (171)
        
        По крайне мере на майфреймм Ибм микрокод с атрибутами работает быстрей Явы, но , maximnik0, 09-Фев-23, 12:45 (176)
        
        Дело в том, что на мейнфреймах IBM есть оптимизации и для jvm Но берут их не по, Аноним, 09-Фев-23, 18:44 (199)
        
        Что тяжко ломаются эти майфрейммы Есть у этих аппаратов из за этого ограничения , maximnik0, 09-Фев-23, 22:07 (203)
- В том числе и твой любимый безопасный язычок Теперь живи с этим , Вы забыли заполнить поле Name, 08-Фев-23, 16:56 (51) //
  - Раст можно переписать на расте и тогда будет тру , X86, 08-Фев-23, 17:06 (59) //
    - Rust Мы не поставляем ни одной библиотеки и прослойки для наших ядер, и компиля, ARM Cortex, 08-Фев-23, 18:23 (87)
      - Да это и неважно, внутри Андроида джава в основном А больше-то применений у арм, Аноним, 09-Фев-23, 18:46 (200)
Говорят есть язык который мог бы от такого случая спасти 8230 , Аноним, 08-Фев-23, 15:23 (13) //
- только не произноси его вслух а то набегут и начнут рассказывать про ножи, повар, annonn, 08-Фев-23, 15:25 (14) //
  - Паскаль Ада , Аноним, 08-Фев-23, 15:42 (26)
  - Ну смотри - в детстве я показывал соседке, что значит идиома бежать сломя голов, kusb, 08-Фев-23, 16:41 (41) //
    - Когда по делу сказать нечего, приводят аналогии и рассказывают притчи , vdb, 08-Фев-23, 17:46 (71)
      - Абстрагирование - важная вещь в понимании Мы способны найти общее и даже общие , kusb, 08-Фев-23, 17:52 (73)
    - Ну так borrow checker не связывает ноги, Аноним, 09-Фев-23, 01:53 (139)
    - Машину вы используете тоже без ремней безопасности Они же пристёгивают вас к кр, freecoder, 09-Фев-23, 14:31 (182)
      - У меня нет машины А вообще - я не говорил, что всегда плохи ограничения, я гово, kusb, 09-Фев-23, 17:32 (197)
        
        Впрочем я не умею пристёгиваться Ибо редко езжу Один раз довелось ехать в газе, kusb, 09-Фев-23, 17:34 (198)
        Если мешают ограничения borrow checker а, то используй сырые указатели Никто не, freecoder, 11-Фев-23, 13:10 (219)
- ОБС Одна Бабка Сказала , Каледин, 08-Фев-23, 15:27 (15) //
  - Вот чем бабки у подъезда занимаются код пишут оказывается, Вы забыли заполнить поле Name, 08-Фев-23, 16:51 (46)
  - А я думал это софт для стриминга, Аноним, 09-Фев-23, 01:53 (140)
- Мог бы если бы на нем что-то писали, Вы забыли заполнить поле Name, 08-Фев-23, 16:50 (45)
- В том то и дело, что только говорят Языком про язык любой анонимус через тор ко, ihatebtards, 08-Фев-23, 18:28 (89)
- Это язык общения с НИМ О, госпади, спаси , Аноним, 10-Фев-23, 15:24 (214)
было бы неплохо услыгать аргументы не-любителя-нпмдаже не могу придумать как он , animenimus, 08-Фев-23, 15:34 (19) //
- Раст бы помог убрать чтение данных за пределами буфера, но отказ в обслуживании , ihatebtards, 08-Фев-23, 18:42 (94) //
  - А еще double-free и use-after-free 0215, 4450 И разыменование указателя NULL , Анонимусс, 08-Фев-23, 19:04 (100) //
    - Да, ждём от вас rsSSL, а покамест будем пользоваться сабжем, ihatebtards, 08-Фев-23, 23:32 (136)
      - Да вы и после rsSSL сабжем пользоваться будете, толку то , Аноним, 09-Фев-23, 02:38 (141)
        
        Догадайтесь с трёх раз, почему - Память не резиновая - Проц законы физики тоже н, Омномним, 09-Фев-23, 15:10 (189)
      - Уже есть https github com rustls rustls, Cucumber, 09-Фев-23, 05:45 (143)
        
        Вот скажи мне, растаман Это такая шутка Ты хоть открывал ссылку то Цитирую Ru, Аноним, 09-Фев-23, 09:39 (159)
        
        А что не так Баги в статье в криптографии - Нет Поэтому твоя отсылка на то что , Аноним, 09-Фев-23, 12:13 (172)
        
        А ты что грубишь то Отсылка на то, что это не безопасно, чекер не сможет пр, Аноним, 09-Фев-23, 12:29 (173)
        
        Когда вы уже поймете что раст это не серебрянная пуля Он нужен чтобы из восьми о, Анонн, 09-Фев-23, 14:45 (183)
        
        И ещё десятка три функциональных логических, внесённых при переписывании , Омномним, 09-Фев-23, 15:11 (190)
        
        А докажи что их сейчас нет в OpenSSL , Анонин, 09-Фев-23, 15:16 (191)
        
        Зачем Как это повлияет на то, что при переписывание к уже имеющимся будет добав, Омномним, 09-Фев-23, 15:21 (192)
        
        Никогда, мы считаем, что раст это ЯП, к-й решает все проблемы Он даже может авт, Аноним, 09-Фев-23, 16:05 (195)
    - На такие возможные проблемы нормальный компилятор выдает предупреждения, чтобы, Аноним, 09-Фев-23, 06:48 (145)
  - Э, вот не надо за анимешников Я дереализованный яркими дергаными фантазиями аним, Омномним, 09-Фев-23, 15:09 (188)
Ниачом Читать через memcmp - ну удачи, сколько там, 1 байт за попытку А попытк, Ivan_83, 08-Фев-23, 16:15 (34)
Я предлагаю с этого дня удалять все комментарии где есть слово раст или rust За , birdie, 08-Фев-23, 16:16 (35) //
- И как ты представляешь убедить отбитых хейтеров его принять Именно, растаманы зн, Анонимусс, 08-Фев-23, 16:31 (36) //
  - БОльшей части этих ошибок можно было бы избежать, если бы кто-то использовал ана, Аноним, 08-Фев-23, 16:42 (43) //
    - Плюсую Вот ради интереса санитайзер в проекте топика используется , Вы забыли заполнить поле Name, 08-Фев-23, 16:55 (50)
    - Ты ж понимаешь, что своим утверждением просто заявляешь разрабам openssl нacpaт, Анонимусс, 08-Фев-23, 16:58 (53)
      - Да Я вообще уверен, что 90 всего opensource и не очень -кода написано в пьяном , Аноним, 08-Фев-23, 17:07 (61)
        
        Только анонимы опеннета знают как правильно писать на Си Жаль только что их ник, Аноним, 08-Фев-23, 18:35 (92)
        
        А мы бы и не пошли, даже за большие деньги У нас уже есть своя тайная сеть, ОС , Аноним, 08-Фев-23, 19:10 (102)
        они ещё умеют писать на расте, но потом весь код на расте почему то превращается, 1111, 10-Фев-23, 16:22 (215)
      - Вот можешь посмотреть их пайплайн https github com openssl openssl actions ru, fsb4000, 08-Фев-23, 17:28 (69)
      - Да, часть уже видел, но бот посчитал мой коммент плохим и потер Получается им э, Анонимусс, 08-Фев-23, 17:41 (70)
      - Воу-воу-воу Ок, мы поняли Где rustssl то Где он , Аноним, 08-Фев-23, 21:54 (121)
        
        Так вот же он - rustls, уже пишется , Аноним, 08-Фев-23, 22:18 (125)
        Воу-воу-воу Палегчи Не всё сразу Растовиков просто на всех не хватает, ты же , Аноним, 08-Фев-23, 22:18 (126)
        
        если растаманов так мало то почему в каждом углу их помёт и на весь интерент во, 1111, 10-Фев-23, 16:27 (216)
    - Как отписали во внутренней ветке выше с пруфами на пайплайн - нет, у них куча вс, Анонн, 08-Фев-23, 18:32 (90)
      - У раста вообще задница он при сборке себя выдаёт гигабайты предупреждений И при, Аноним, 08-Фев-23, 18:54 (95)
        
        Может тогда нужно их просто исправлять В сборке кода на си тоже можно включить , Анонн, 08-Фев-23, 18:58 (98)
        
        Но если компилятор предлагает сделать хуже С нормальным языками то же самое, мо, Аноним, 08-Фев-23, 19:12 (103)
        
        Если предлагает сделать хуже - ты suppress ишь ворнинг и пишешь развесистый комм, Анонн, 08-Фев-23, 20:20 (110)
        
        Каждую неделю выходит новая версия компилятора, где всё то, к чему тебя приучали, Аноним, 08-Фев-23, 20:35 (114)
        
        какое фейеричное вранье Открыл старый растовский проект, который не трогал 2 го, Аноним, 08-Фев-23, 22:24 (127)
        
        Называть вот это -- редко Даже не знаю Тут ни сами разработчики языка, ни един, Аноним, 08-Фев-23, 22:33 (129)
        
        с самой последней версией с дефолтными настройками, Аноним, 08-Фев-23, 22:41 (130)
        Может быть, это очередной привет мир Мой привет мир тоже требует 100 гб на диск, Аноним, 08-Фев-23, 22:51 (132)
        Ниже тебе отписал, но ты похоже устал читать, слабенький Функционал - чтение и , Аноним, 08-Фев-23, 22:57 (133)
        Хмм, ну, ты написал это после того, как я обновил страницу И, собственно, подтв, Аноним, 08-Фев-23, 23:04 (134)
        перепроверил хотя обновляю сразу, как новое выходит - версия 1 67 0 Моего код, Аноним, 08-Фев-23, 22:45 (131)
        
        Ты это серьезно Времена когда компилятор сделал хуже прошли лет 10 назад Сейча, фттщтт, 08-Фев-23, 20:23 (112)
        
        Компилятор всегда будет делать хуже, кроме того, он не предсказуемый и с каждым , Аноним, 08-Фев-23, 20:39 (115)
        
        Компилятор должен соответствовать стандарту Т е - или в нем был баг ну, бывает, Аноним, 08-Фев-23, 21:05 (117)
        
        Баги или не баги, сложно сказать Что-то и баги, как с IPA, а что-то и вполне ко, Аноним, 08-Фев-23, 21:30 (119)
        
        Что-то мне подсказывает, что такие вещи как будет ли переменная помещена в реги, Анонн, 09-Фев-23, 00:17 (138)
    - Избежать ошибок таким образом нельзя чисто по определению, потому что анализат, Аноним, 09-Фев-23, 11:06 (168)
    - Статический анализ почти никто не использует Зачем тратить время на его настрой, Аноним, 09-Фев-23, 11:11 (169)
    - Если бы программисты использовали санитайзеры и обесклычиватели https kosmetik, Аноним, 09-Фев-23, 11:22 (170)
- Ошибки в логике, это что-то более трудное и высокоуровневое Для того, чтобы спр, kusb, 08-Фев-23, 16:36 (39)
- Либо это троил пишут, либо целенаправлено такиделают В любом случае комментарии, Вы забыли заполнить поле Name, 08-Фев-23, 16:53 (47) //
  - Моя жизнь просто скучна и я отправляю комментарии ради них самих Я считаю, что , kusb, 08-Фев-23, 16:59 (56) //
    - Эх, скорей бы , Аноним, 09-Фев-23, 02:46 (142)
    - Как рассказать всему миру что ты овощ Definitive guide Ты можешь книжку такую , Аноним, 10-Фев-23, 05:38 (210)
  - Если тебе не нравится некий комент, жми сообщить модератору и обоснуй , Аноним, 10-Фев-23, 05:39 (211)
- Когда кто-то только начинает переписывать, то сразу же набегает куча особо одаре, Анонн, 08-Фев-23, 18:55 (96) //
  - И перейдут, наконец, к изучению языка Modula-3 , iZEN, 08-Фев-23, 21:46 (120) //
    - Этого не случится никогда Слишком уж паскалеобразная гадость А попробовав разо, Аноним, 10-Фев-23, 05:34 (208)
- Таких всех почему-то придумывают только сишники и приписывают это утверждение , Аноним, 08-Фев-23, 22:08 (123)
- А постоянный поток новостей о бесконечно текущих сишных проектах вас, извиняюсь , Аноним, 08-Фев-23, 22:17 (124) //
  - В вебе сей почти нет - а поток CVEшек эвон какой А если учесть что он еще и сти, Аноним, 10-Фев-23, 05:37 (209)
- Напиши фильтр для адблока или юзерскрипт, делов-то, если такой слабонервный , Аноним, 09-Фев-23, 07:54 (146)
- Просто нужно доказать растерам, что всё нужно писать на паскале, а паскальщикам,, Аноним, 09-Фев-23, 15:32 (193)
- Как подгорает от правды да Как только очередная сишная дырень, так сразу со сто, Аноним, 09-Фев-23, 16:33 (196)
Непонятная фигня Давай что-то про некрожелезо, хочу потроллить пенсичей с их 4 , Аноним, 08-Фев-23, 17:11 (67) //
- Просто никто не любит безграмотных людей с тупыми вопросами И дело вовсе не в о, Аноним, 08-Фев-23, 20:52 (116)
А они ведут статистику по авторам этих уязвимостей Было бы интересно нет ли там, Аноним, 09-Фев-23, 08:40 (151) //
- По статистике 100 авторов - корявые сишники , Аноним, 09-Фев-23, 14:22 (180)
- Не знаю как насчет автырей но темп они держат изумительно если месяц прошел без, Аноним, 10-Фев-23, 05:29 (206)
Безопасность в голове, а не на языке Ни одна машина в наше время не будет подск, Аноним, 09-Фев-23, 09:13 (156) //
- В голове, верно Только умная голова безопасность автоматизирует А глупая - упо, Аноним, 09-Фев-23, 14:21 (179) //
  - Автоматизация потом приводит к тому что кодер начинает считать что за него подум , Аноним, 10-Фев-23, 05:32 (207)
Вознесём же благодарственную молитву спасительному джиттеру , YetAnotherOnanym, 09-Фев-23, 12:40 (175)
Знаете, в чем концептуальная разница между сишкой растом Если ошибка памяти воз, Аноним, 09-Фев-23, 14:19 (177)
Очередная поебда CVE-languages , Аноним, 09-Фев-23, 14:23 (181)
Опять в разборе ASN 1 задница Выдумавшему эту нотацию надо дать орден за одну из, Омномним, 09-Фев-23, 15:02 (185)
О, отлично, видать заодно пофиксили багу, которая крашила мой второй конфиг Open, Аноним, 09-Фев-23, 20:22 (201)
Мы создаем LibreSSL так как дыры в OpenSSL нас достали, говорили они , anoni, 10-Фев-23, 01:16 (205)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру