Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"	+/–
Сообщение от opennews (?), 02-Окт-25, 10:45
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования.  OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.5 LTS, 3.4, 3.3, 3.2  и 3.0 LTS продлится до  апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63979
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 02-Окт-25, 10:52	–3 +/–
> Уязвимость может привести к записи и чтению данных вне выделенного буфера > уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #20, #24, #26

3. Сообщение от Аноним (3), 02-Окт-25, 11:23	+1 +/–
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (-), 02-Окт-25, 11:30	+3 +/–
kek_unwrap_key(): Fix incorrect check of unwrapped key size - if (inlen < (size_t)(tmp[0] - 4)) { + if (inlen < 4 + (size_t)tmp[0]) { Прям топ-кек)) ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять)) А ведь openssl обмазана санитайзерами по самое немогу. И что? Помогли вам эти санитайзеры?))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #14, #33

9. Сообщение от Аноним (9), 02-Окт-25, 11:50	+1 +/–
Ты же не думаешь, что это случайно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #21, #39

10. Сообщение от Аноним (10), 02-Окт-25, 12:01	+1 +/–
>  в реализации встроенного HTTP-клиента зачем HTTP клиент-то встраивать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #17, #34, #47

11. Сообщение от Аноним (11), 02-Окт-25, 12:34	+5 +/–
Никто не обкладывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #37

13. Сообщение от oauth отстой (?), 02-Окт-25, 13:11	+2 +/–
может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 02-Окт-25, 13:12	+/–
Сама по себе эта конструкция уже хороша: (size_t)(tmp[0] - 4)) Но это в той части, которой никто не пользуется и компиляцию которой вырубают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #44

15. Сообщение от OpenEcho (?), 02-Окт-25, 13:48	+1 +/–
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

16. Сообщение от Аноним (16), 02-Окт-25, 13:54	+/–
> Ты же не думаешь, что это случайно. Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны??? Но ведь они появляются практически в каждом проекте больше хеллоуволда! Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от OpenEcho (?), 02-Окт-25, 13:54	+/–
Official: > It's intended for testing purposes only Ну и например, - в кроне проверять сертификаты на удаленных сервисах - проверять поддержку протоколов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от 12yoexpert (ok), 02-Окт-25, 14:08	+/–
а что, нельзя? раскрой мысль, очень интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38

21. Сообщение от Аноним (-), 02-Окт-25, 14:08	+/–
Тут вопрос скорее в другом. У опенССЛьки есть спонсоры [1] Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2]) Им вообще норм, что бракоделы овнячат бекдоры? Или они просто "в доле") [1] openssl-foundation.org/about/sponsors/ [2] openssl-foundation.org/donate/premier/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #27

24. Сообщение от Аноним (24), 02-Окт-25, 15:00	–3 +/–
> Что-то пошло не так? То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

25. Сообщение от Аноним (25), 02-Окт-25, 15:05	+/–
Настоящий сишник что сферический конь, бывает только в вакууме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от Аноним (26), 02-Окт-25, 15:09	+/–
Никто и не обкладывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Аноним (9), 02-Окт-25, 16:17	+/–
Все понимают, в чьих интересах. Возможности отказаться у них нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29

29. Сообщение от Аноним (29), 02-Окт-25, 16:47	+/–
Зато есть LibreSSL, от группки известных паранойиков из OpenBSD. но пользоваться ей большинство не хотят...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #30

30. Сообщение от Аноним (-), 02-Окт-25, 16:51	+1 +/–
> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD. А толку? "Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD." Дыры те же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (33), 02-Окт-25, 16:55	+/–
> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные. чтобы легче искать в памяти?
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Анонимусс (-), 02-Окт-25, 16:56	–2 +/–
> требуется компилятор, совместимый со стандартом C-99 Получается что они прям застряли в 90х Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны. Ради чего они продолжают хвататься за этот копролит? Даже ядро переехало на более новую версию языка!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #45, #46, #49

33. Сообщение от Аноним (33), 02-Окт-25, 16:59	–1 +/–
> ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! это как раз те которые говорят, что им математика не нужна!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

34. Сообщение от Аноним (33), 02-Окт-25, 17:00	+/–
так он ведь для тестов, а не продакшена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

35. Сообщение от Oldi (?), 02-Окт-25, 17:08	+/–
Расчет ядра так себе аргумент
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #36

36. Сообщение от Анонимусс (-), 02-Окт-25, 17:28	+/–
> Расчет ядра так себе аргумент Почему? Ядро сложнее чем эта либа. Ядро работает на куче платформ, в том числе некроплатформ. Почему они должны использоваться именно с99?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от Аноним (37), 02-Окт-25, 17:48	+/–
> Никто не обкладывал Неужели опять те самые "ненастоящие сишники"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

38. Сообщение от Аноним (37), 02-Окт-25, 18:26	+/–
> а что, нельзя? Можно конечно! Он вроде и не спорил. Не будут же опернетные эксперты врать. Но вопрос "что же пошло не так" остается открытым. Видимо, OpenSSL пишут какие-то бракоделы, которые не обложили бы санитайзерами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

39. Сообщение от Аноним (37), 02-Окт-25, 19:02    Скрыто ботом-модератором	+/–
> Ты же не думаешь, что это случайно. Нет, конечно, это не случайность. Это вполне закономерные последствия использования недоязыка из 70х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #40

40. Сообщение от Аноним (9), 02-Окт-25, 19:21	–1 +/–
У тебя просто комплексы. А какие языки защищают от логических ошибок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #41

41. Сообщение от Аноним (-), 02-Окт-25, 19:28	–1 +/–
> У тебя просто комплексы. А какие языки защищают от логических ошибок? Где ты увидел логическую ошибку? Тут проблема что сишка *вообще* позволяет писать мимо буфера, а не в том что не правильно посчитали размер. Нормальный язык бы кинул эксепшн, ошибку или панику, а не выполнил бы произвольный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #43

43. Сообщение от Аноним (9), 02-Окт-25, 19:40	+/–
А разве не логическая? Ну, бесплатно это не решить программно. Вот, российские процессоры ель-брюс решают аппаратно, и код никак не мешает. Только, vliw немного расходится с общепринятым risc. Итаниум не даст соврать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от Аноним (44), 02-Окт-25, 23:46	+/–
Почему вообще арифметика указателей и операций с size_t с применением числовых констант не запрещена статическими анализаторами? Им мало примера Adobe Flash, который на 64-битную архитектуру портировать не смогли? Сегодня там int32, а завтра int64 или вообще структура неопределённого размера. И такие изменения фиг отследишь поскольку константа это просто число и никакой тревоги компилятора она не вызовет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

45. Сообщение от Аноним (45), 03-Окт-25, 00:43	+/–
> Ради чего они продолжают хвататься за этот копролит? Действующие системы. В которых нет компиляторов с новым стандартом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

46. Сообщение от Анон1110м (?), 03-Окт-25, 08:25	+/–
А тебе какая разница? Пишешь OpenSSL а сюда пришел пожаловаться? Или немодно, несовременно, запретить! переписать!?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

47. Сообщение от Аноним (47), 03-Окт-25, 09:21	+/–
копипастишь любой/нужный/модный оупенсорс и декларируешь об автономности/самодостаточности/продвинутости софта. маркетинг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

48. Сообщение от Аноним (47), 03-Окт-25, 09:22	+/–
раскрученный бренд, зачем с нуля-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

49. Сообщение от Аноним (47), 03-Окт-25, 09:27	+/–
нууу, стратегия такая. кто-то продаёт ананасы избранным, кто-то поставляет воду/спички/туалетную бумагу - ориентированны на массовый спрос
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

50. Сообщение от Аноним (50), 03-Окт-25, 14:05	+/–
Как там дела у i2pd разработчика, который включает по умолчанию алгоритмы из свежих версий openssl?
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 04-Окт-25, 01:14	+/–
> Прекращена поддержка платформы VxWorks. Ну что жо^W Windriver, довертелся? :)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема