https://opennet.ru/openforum/vsluhforumID3/107789.html Доступны корректирующие выпуски OpenSSL 1.0.1t (https://mta.openssl.org/pipermail/openssl-announce/2016-May/000070.html) и 1.0.2h (https://mta.openssl.org/pipermail/openssl-announce/2016-May/000071.html), в которых отмечено 6 уязвимостей (https://mta.openssl.org/pipermail/openssl-announce/2016-May/000072.html), из которых опасность двух проблем оценена как высокая. Уязвимости также затрагивают (http://undeadly.org/cgi?action=article&sid=20160503153036) LibreSSL, исправления для которого пока доступны в виде патча (http://marc.info/?l=openbsd-announce&m=146228598930416&w=2).<br><br><br>Первая опасная уязвимость (CVE-2016-2108 (https://www.openssl.org/news/vulnerabilities.html#2016-2108)) исправлена ещё в апреле 2015 года (OpenSSL 1.0.2b, 1.0.1n, 1.0.0s), но в то время исправление было квалифицировано как устранение ошибки, а не уязвимости. Уязвимость приводит к возможности повреждения памяти кодировщика ASN.1 и записи данных вне границ буфера, что теоретически может быть использовано для организации исполнения кода з https://opennet.ru/openforum/vsluhforumID3/107789.html#40 Fri, 06 May 2016 08:21:16 GMT FreeBSD вчера выкатили обновления<br>https://www.freebsd.org/security/advisories/FreeBSD-SA-16:17.openssl.asc<br> https://opennet.ru/openforum/vsluhforumID3/107789.html#38 Thu, 05 May 2016 18:14:49 GMT &gt; В том числе уязвимости подвержены пакеты с openssl в Debian, RHEL/CentOS/Fedora, Ubuntu и SUSE, в которые исправление не было перенесено, так как оно было квалифицировано как устранение ошибки, а не уязвимости.<br><br>Вся суть штабильной тухлятины и цирка с бэкпортированием из апстрима. JWZ был прав.<br> https://opennet.ru/openforum/vsluhforumID3/107789.html#37 Wed, 04 May 2016 14:00:40 GMT Обычно таки народу нужно хранить элементы. Причем, продвинутые даже вполне могут посмотреть дефолтный размер, как и алгоритм увеличения массива.<br><br> https://opennet.ru/openforum/vsluhforumID3/107789.html#36 Wed, 04 May 2016 13:55:52 GMT <br>&gt; 2. выполнение 2-ой команды приведёт к исключению, в таком случае его поведение <br>&gt; немногим отличается от ситуации в существующих ЯП <br><br>В параллельных вселенных и сферических юзкейзах вполне возможно. <br>Но обычно народ таки предпочитает нарваться сразу на исключение, чем на непонятный баг, где далеко не сразу определишь, откуда у него "ноги растут".<br><br>&gt; 3. он выполнит 2-ую команду, самопроизвольно (!) увеличив размер массива. <br><br>Да, это так внезапно для языка с автоматическим управлением памятью!<br>&gt; Это сделает ЯП неуправляемым: <br><br>Кэп, залогинтесь!<br><br>&gt; создав массив размером 10 элементов, мы не можем быть <br>&gt; уверены в его размере.<br><br>И чем это плохо?<br>Во-первых, создайте массив на 10 элементов в плейн-си, сделайте gcc -S -O2 и удивитесь размерам.<br>Во-вторых, чем вы опять собрались там "управлять" и "рулить"? <br>Вы уж определитесь &#8211; вам шашечки в виде создания массива на 10 элементов и последующего рулежа оным &#8230;<br>Или все же ехать &#8211; хранить элементы, (которых может оказаться 11 вместо д https://opennet.ru/openforum/vsluhforumID3/107789.html#35 Wed, 04 May 2016 13:48:21 GMT &gt; Подскажите-ка "низкоуровневую" либу для шифрования<br><br>При чём здесь "низкоуровневая либа"?<br>Я сказал низкоуровневые функции!<br><br>А либа всё та же самая - OpenSSL (или LibreSSL, по вкусу).<br> https://opennet.ru/openforum/vsluhforumID3/107789.html#34 Wed, 04 May 2016 13:43:28 GMT &gt;Уязвимость была внесена вместе с исправлением для блокирования атак<br><br>Змей поедающий свой хвост. :)<br> https://opennet.ru/openforum/vsluhforumID3/107789.html#33 Wed, 04 May 2016 13:30:36 GMT клоун: ЯП, управляющий памятью должен обработать последовательность команд:<br><br>1. создать массив из 10 элементов<br>2. присвоить 11-ому элементу массива значение N<br><br>Вариантов немного:<br>1. он проигнорирует вторую команду, чем вызовет логическую ошибку позднее<br>2. выполнение 2-ой команды приведёт к исключению, в таком случае его поведение немногим отличается от ситуации в существующих ЯП<br>3. он выполнит 2-ую команду, самопроизвольно (!) увеличив размер массива. Это сделает ЯП неуправляемым: создав массив размером 10 элементов, мы не можем быть уверены в его размере.<br><br>И речь я веду совсем не о сборщике мусора.<br> https://opennet.ru/openforum/vsluhforumID3/107789.html#32 Wed, 04 May 2016 13:02:52 GMT &gt; клоун: Типичные ошибки по работе с памятью в ЯП, который сам управляет <br>&gt; памятью.<br><br>Это в какой вселенной они типичные?<br><br>&gt; Обращение за границу массива. Данные записываются не просто так, а с определённой <br>&gt; целью. Если они не будут записаны, это вызовет логическую ошибку в <br>&gt; другом месте кода.<br><br>А ошибка при записи данных будет проигнорирована, потому что гладиолус? По этой же причине язык с авто-GC не будет ничего делать с границами массива &#8211; пользовоатель ЯП с ГЦ должен заниматься всем этим вручную, потому как языки с ГЦ для лохов и никаких преимуществ у них нет, только недостатки!<br><br>&gt; Обращение к освобождённой или невыделенной памяти. <br>&gt; Обращение на чтение к неинициализированным данным <br>&gt; приведёт к логической ошибке в другом месте кода.<br><br>Во-первых, предупреждения еще никто не отменял.<br>Во-вторых, в некоторых ЯП это еще надо умудриться сделать.<br>В-третьих, найти обращение к неинициализированным переменным для всяких линтов намного проще, чем обращения к освобожденной памяти в языках с https://opennet.ru/openforum/vsluhforumID3/107789.html#31 Wed, 04 May 2016 12:33:22 GMT &gt; Во FreeBSD 10-STABLE исправления добавили 5 минут назад.<br><br>http://packages.altlinux.org/openssl<br>