The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в криптографической библиотеке PolarSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в криптографической библиотеке PolarSSL"  +/
Сообщение от opennews (??) on 19-Янв-15, 21:31 
В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=31442) выявлена (https://polarssl.org/tech-updates/security-advisories/polars...) критическая уязвимость (http://www.certifiedsecure.com/polarssl-advisory/) (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером.


Среди программ, поддерживающих сборку с PolarSSL, можно отметить (https://polarssl.org/kb/generic/projects-using-polarssl) OpenVPN-NL (https://openvpn.fox-it.com/) (уязвим и требует обновления, так как использует (https://openvpn.fox-it.com/background.html) по умолчанию PolarSSL), OpenVPN, cURL, FreeRDP, PowerDNS. Проблема проявляется во всех выпусках PolarSSL 1.x, включая актуальные релизы 1.3.9 и 1.2.12. Исправление пока доступно в виде патча (http://www.certifiedsecure.com/polarssl-advisory/asn1parse.c...).


URL: https://polarssl.org/tech-updates/security-advisories/polars...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41492

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Критическая уязвимость в криптографической библиотеке PolarS..."  +3 +/
Сообщение от Аноним (??) on 19-Янв-15, 21:37 
Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Критическая уязвимость в криптографической библиотеке PolarS..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:32 
> Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято
> случайные

Такие еще где-то остались?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Критическая уязвимость в криптографической библиотеке PolarS..."  +3 +/
Сообщение от Аноном on 19-Янв-15, 22:49 
Точно, два типа дыр: случайные и критические.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

43. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 17:41 
Все некритические - обязательно случайные?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

3. "Критическая уязвимость в криптографической библиотеке PolarS..."  –3 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:14 
> специально оформленных последовательностей ASN.1

Ну кто бы сомневался что в навороченном до ж...ы парсере очередной переусложненой фигни "на все случаи жизни" насажают багов. Ну что, советчики стандартного крапа, даже в сватаемом Polar SSL случился полярный лис, да? :)

Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в криптографической библиотеке PolarS..."  +6 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:29 
> Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой.

Жестко ты Linux приложил.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:42 
В нем между прочим можно выбрать какие лезвия прикручивать - см. как это делают какие-нибудь опенвртшники. И основная масса лезвий по крайней мере не работает с внешними данными по сети. Не говоря о том что квалификация ядерных програмеров - зело выше средней по больнице. А обычную либу в юзермоде пишут черти кто. Спасибо если они хоть минимальное представление о криптографии имеют, а то вон в опенссл если попросить аппаратное ускорение - могут накормить сразу прямиком рандомом из аппаратного RNG, без подмешивания других источников энтропии. А бэкдоры в RNG - не, не слышали! А вот в лине одно только рассмотрение такой возможности вызывает саркастичные отповеди от какого-нибудь Теодора Тсо, который в общем то даже и не криптограф вроде. Так что в лине по поводу грубых плюх в криптографии получше чем у некоторых. Хотя и не идеально.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:44 
> В нем между прочим можно выбрать какие лезвия прикручивать

Но сути это не меняет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:47 
> Но сути это не меняет.

Да как сказать? Несмотря на большой размер кода багов которые были бы эксплуатируемы по сети там как-то было не сильно то дофига. И это в шмате кода на мегабайты. А тут казалось бы одна небольшая либа - и такая плюха.

Засчитывается то результат. В смысле, сломают вам систему или нет. Не вижу как ядро линя сильно этому способствует. А сабж вот довольно убедительно облажался при том что там кода неизмеримо меньше.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Michael Shigorin email(ok) on 19-Янв-15, 23:29 
> Засчитывается то результат. В смысле, сломают вам систему или нет.
> Не вижу как ядро линя сильно этому способствует.

Вообще-то способствует, вспомните недавние комментарии solardiz.  Но это отдельная история и всяко не виндостудентам вылазить её порассказывать.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 02:51 
> Вообще-то способствует, вспомните недавние комментарии solardiz.

А ссылочку подкинете? И да, может быть у меня склероз, но я не помню в линухе CVE с удаленным поимением ядра по сети в последнее время. Как минимум для сколь-нибудь распостраненных конфигураций. Я вполне согласен что может быть и лучше, но честно говоря я не сталкивался с сколь-нибудь ощутимыми проблемами по линии именно линукса как ядра ОС.

> Но это отдельная история и всяко не виндостудентам вылазить её порассказывать.

А виндостудентам всегда можно немного get the facts'ов подогнать: http://hitech.newsru.com/article/16jan2015/google_wind

Так что если они хотят сказать что у них лучше получается - что-то не похоже, имхо.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Критическая уязвимость в криптографической библиотеке PolarS..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 20-Янв-15, 03:48 
>> Вообще-то способствует, вспомните недавние комментарии solardiz.
> А ссылочку подкинете?

https://www.opennet.ru/openforum/vsluhforumID3/101076.html#54

> http://hitech.newsru.com/article/16jan2015/google_wind

Да-да, с характерными истериками про coordinated release/responsible disclosure квартал спустя, как это узнаваемо... но это уже третья сказка :)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Критическая уязвимость в криптографической библиотеке PolarS..."  –3 +/
Сообщение от клоун on 20-Янв-15, 12:08 
Полная история изложена здесь: http://spbit.ru/news/n113886/
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

47. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:13 
> Полная история изложена здесь: http://spbit.ru/news/n113886/

Мне малоинтересно почему в микрософте 3 месяца е...ли вола вместо того чтобы фиксить баг, при том что их о проблеме явно и громко уведомили. Ну ладно б они еще не знали о баге.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

52. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 20:22 
потому что расписание выпусков патчей важнее всего.

а идиотские писки по поводу «нашли баг — молчите!» продолжают умилять. конечно, молчите: на рынке 0-day'ев он давно продаётся, не ломайте бизнес, не позволяйте людям даже узнать, откуда может быть следующая атака! а то ведь они и подготовиться могут.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

56. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:26 
> потому что расписание выпусков патчей важнее всего.

У них вроде раз в месяц, так что они минимум 2 раза проипли срок.

> а идиoтские писки по поводу «нашли баг — молчите!» продолжают умилять.

Осталось еще набраться наглости и попросить хаксоров иметь юзерье по расписанию, громко анонсируя "кто не спрятался^W пропатчился - я не виноват!"

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

57. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 21:33 
>> потому что расписание выпусков патчей важнее всего.
> У них вроде раз в месяц, так что они минимум 2 раза
> проипли срок.

так это… список фиксов для следующих патчей давно составлен, туда не помещается. невозможно за одно и то же время сделать больше.

тут, на самом деле, ситуация вполне понятная. сделать багфикс — это ж не просто код вкоммитить. это делать кучу сборок, заново тестировать кучу сценариев, всё вот это. расписание составлено, люди заняты. тупо их срывать с текущей работы — это куча проблем. а релизнуть быстропатч к исходникам как временную меру — по очевидным причинам невозможно.

>> а идиoтские писки по поводу «нашли баг — молчите!» продолжают умилять.
> Осталось еще набраться наглости и попросить хаксоров иметь юзерье по расписанию, громко
> анонсируя "кто не спрятался^W пропатчился - я не виноват!"

в общем-то, обида чувака вполне понятна: «ну, вы же понимаете, что такое багфиксы в большой конторе! играете нечестно, не по правилам!»

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

18. "Критическая уязвимость в криптографической библиотеке PolarS..."  –3 +/
Сообщение от Michael Shigorin email(ok) on 19-Янв-15, 23:27 
>> Ну не бывает швейцарский нож с 200 лезвиями
> Жестко ты Linux приложил.

Линукс -- это общее название набора заготовок, комплектов деталей, одно- и многоцелевых готовых инструментов.  И _так_ безграмотно вляпаться при попытке наехать надо было постараться. :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

42. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 17:38 
> Линукс -- это общее название набора заготовок, комплектов деталей, одно- и многоцелевых  готовых инструментов.

Как и PolarSSL. От того, что вы его называете другими словами, суть не меняется ;)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

48. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:14 
> Как и PolarSSL. От того, что вы его называете другими словами, суть
> не меняется ;)

Linux, PolarSSL... и правда, какая разница? :)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

37. "Критическая уязвимость в криптографической библиотеке..."  –2 +/
Сообщение от arisu (ok) on 20-Янв-15, 18:55 
> даже в сватаемом Polar SSL случился полярный лис, да? :)

нет, конечно. точнее, да: у тех идиотов, у которых выделялка памяти не чистит выделенное автоматически. ну, идиоты, что с них взять. ну да, авторы поляра заботливо положили для них грабли. а что, неужели никого не насторожил дефайн «#define polarssl_malloc     malloc»? ну, ССЗБ.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

49. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:16 
Ну ок, так и запишем - те кто пользуются PolarSSL - ССЗБ. Правда это касается и остальных реализаций SSL/TLS. Потому что в таком монстрятнике просто не может не быть багов. В том числе и багов ведущих к проблемам безопасности.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

55. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 20:24 
а ещё в ядре баги есть. в том числе и ведущие к. ужас просто. твой выбор — счёты и голуби. хотя, конечно, даже там есть баги, ведущие к…
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

4. "Критическая уязвимость в криптографической библиотеке PolarS..."  –1 +/
Сообщение от Crazy Alex (ok) on 19-Янв-15, 22:18 
Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения - консервативный подход к добавлению фич и проверка временем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:31 
> Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения
> - консервативный подход к добавлению фич

Неа. Прежде всего консервативность нужна при исправлении багов и, особенно, закрытии дыр.
Обычно подобные вещи делаются в спешке, не проходят достаточного тестирования, и ведут к появлению новых ошибок и уязвимостей.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

27. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Crazy Alex (ok) on 20-Янв-15, 09:26 
Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в объятия "инновационного" кода, не прошедшего проверку временем. Не та сфера, где нужно много инноваций.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

41. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 17:37 
> Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в
> объятия "инновационного" кода, не прошедшего проверку временем. Не та сфера, где
> нужно много инноваций.

Багфикс - тоже вполне себе инновация.
Именно поэтому у серьезных дядек каждое исправление требует отдельной сертификации, в противном случае его установка отменяет сертификацию всей системы.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

46. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 19:18 
сертифицированное говно магически превращается в конфетку!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

54. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:23 
> сертифицированное гoвно магически превращается в конфетку!

Ну надо же как-то оправдывать волокиту, бюрократию и имитацию бурной деятельности.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

11. "Критическая уязвимость в криптографической библиотеке PolarS..."  +6 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:42 
> - консервативный подход к добавлению фич и проверка временем.

Ну, за шифр Цезаря! :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от тоже Аноним email(ok) on 20-Янв-15, 08:29 
Ну да, главное - чтобы метод прошел проверку временем.
Результат проверки неважен...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Crazy Alex (ok) on 20-Янв-15, 09:27 
О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 13:38 
> О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает.

Внезапно, качество алгоритма тоже должно пройти проверку временем.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Crazy Alex (ok) on 20-Янв-15, 21:01 
Речь была не о том.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 17:34 
Да все правильно выше сказали.
Проверку временем должен проходить и код, и алгоритм. Причем для алгоритма это важнее, потому что код строится на его основе.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 19:16 
угу. время — великий волшебник. заменяет все науки. что было хорошо для наших дедов — хорошо и для нас!
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:18 
> угу. время — великий волшебник. заменяет все науки. что было хорошо для
> наших дедов — хорошо и для нас!

Да вот странно - летают на самолетах зачем-то. Ездят на поездах. Автомобилей понаштамповали. Чем этим лохам лошади так не нравились? Проверенные же временем.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

6. "Критическая уязвимость в криптографической библиотеке PolarS..."  +3 +/
Сообщение от доктор психиатор Котлетоватян on 19-Янв-15, 22:30 
Ждём реализацию SSL на Rust.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость в криптографической библиотеке PolarS..."  +5 +/
Сообщение от A.Stahl (ok) on 19-Янв-15, 22:33 
Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя языках.
Таких как Forth или Cobol.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Критическая уязвимость в криптографической библиотеке PolarS..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:44 
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя
> языках.
> Таких как Forth или Cobol.

При том из шифрования желательно реализовать только шифр Цезаря. Остальные недостаточно проверены временем. Приходите через пару столетий - к тому моменту DES с 56 битым ключом станет уже более-менее проверенный.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:46 
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя  языках.
> Таких как Forth или Cobol.

Forth и Cobol еще не прошли проверку временем. Латынь - и то получше (вон товарищ выше правильно предлагает шифр Цезаря). А вообще шумерская клинопись - самое то.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от A.Stahl (ok) on 19-Янв-15, 22:50 
>А вообще шумерская клинопись - самое то.

Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Критическая уязвимость в криптографической библиотеке PolarS..."  +2 +/
Сообщение от Sw00p aka Jerom on 20-Янв-15, 00:47 
>>А вообще шумерская клинопись - самое то.
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем
> "DES с 56 битым ключом".

речь моего беззубого дедушки намного устойчивее, хрень разберёшь, что говорит ))

пс: 97666

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 13:39 
>>А вообще шумерская клинопись - самое то.
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".

Кто  вам сказал, что я смеюсь?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 17:43 
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".

А если алгоритм шифрования реализован на брейнфаке, адаптированном под шумерскую клинопись - мало кто догадается, что это шифр Цезаря :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Критическая уязвимость в криптографической библиотеке PolarS..."  –2 +/
Сообщение от Sw00p aka Jerom on 20-Янв-15, 00:45 
зачем ваще писать ? SSL уже похоронили - забыли ?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Sw00p aka Jerom on 20-Янв-15, 13:55 
История с выявлением в SSLv3 уязвимости POODLE (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО.


Пс: оставлю тут минусаторам, версию 4 еще не придумали)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 06:32 
> Ждём реализацию SSL на Rust.

Ждем повсеместных замен OpenSSL на NaCl (Networking and Cryptography library).

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

26. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Макиавельев on 20-Янв-15, 09:12 
Новость кагбэ про polarssl, не?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Критическая уязвимость в криптографической библиотеке PolarS..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 10:24 
Кого это волнует?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 20-Янв-15, 18:52 
а потому что malloc, используемый в любом коде, но особенно в security-critical коде, должен обнулять выделеный блок памяти автоматически. уж сколько раз твердили миру…

хорошо, что я везде, где использую поляр, именно так malloc'и и починил давным-давно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от Аноним (??) on 21-Янв-15, 20:21 
Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, показывающие что они нифига не смыслят в безопасности. Я правильно тебя понял?

Так, стоп, а нафига нужна криптографическая либа от ламеров которые нифига не смыслят в безопасности и раздают либу с крутыми ляпами?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

53. "Критическая уязвимость в криптографической библиотеке..."  +/
Сообщение от arisu (ok) on 21-Янв-15, 20:23 
> Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки,
> показывающие что они нифига не смыслят в безопасности. Я правильно тебя
> понял?

это вот ты сейчас с кем говорил вообще?

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру