Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"	+/–
Сообщение от opennews (?), 02-Окт-25, 10:45
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования.  OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.5 LTS, 3.4, 3.3, 3.2  и 3.0 LTS продлится до  апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63979
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 02-Окт-25, 10:52	+2 +/–
> Уязвимость может привести к записи и чтению данных вне выделенного буфера > уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #20

3. Сообщение от Аноним (3), 02-Окт-25, 11:23	+1 +/–
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

5. Сообщение от Аноним (-), 02-Окт-25, 11:30	+/–
kek_unwrap_key(): Fix incorrect check of unwrapped key size - if (inlen < (size_t)(tmp[0] - 4)) { + if (inlen < 4 + (size_t)tmp[0]) { Прям топ-кек)) ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять)) А ведь openssl обмазана санитайзерами по самое немогу. И что? Помогли вам эти санитайзеры?))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #14

9. Сообщение от Аноним (9), 02-Окт-25, 11:50	+2 +/–
Ты же не думаешь, что это случайно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #21

10. Сообщение от Аноним (10), 02-Окт-25, 12:01	+1 +/–
>  в реализации встроенного HTTP-клиента зачем HTTP клиент-то встраивать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #17

11. Сообщение от Аноним (11), 02-Окт-25, 12:34	+2 +/–
Никто не обкладывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (11), 02-Окт-25, 12:35    Скрыто ботом-модератором	+/–
К сожалению, тебя ещё не обложили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

13. Сообщение от oauth отстой (?), 02-Окт-25, 13:11	+1 +/–
может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 02-Окт-25, 13:12	+/–
Сама по себе эта конструкция уже хороша: (size_t)(tmp[0] - 4)) Но это в той части, которой никто не пользуется и компиляцию которой вырубают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

15. Сообщение от OpenEcho (?), 02-Окт-25, 13:48	+/–
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 02-Окт-25, 13:54	+/–
> Ты же не думаешь, что это случайно. Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны??? Но ведь они появляются практически в каждом проекте больше хеллоуволда! Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от OpenEcho (?), 02-Окт-25, 13:54	+/–
Official: > It's intended for testing purposes only Ну и например, - в кроне проверять сертификаты на удаленных сервисах - проверять поддержку протоколов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от 12yoexpert (ok), 02-Окт-25, 14:08	+/–
а что, нельзя? раскрой мысль, очень интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от Аноним (-), 02-Окт-25, 14:08	+/–
Тут вопрос скорее в другом. У опенССЛьки есть спонсоры [1] Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2]) Им вообще норм, что бракоделы овнячат бекдоры? Или они просто "в доле") [1] openssl-foundation.org/about/sponsors/ [2] openssl-foundation.org/donate/premier/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от 12yoexpert (ok), 02-Окт-25, 14:09	+/–
половина доходов опеннета давным давно идёт с растосрачей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема