OpenForum RSS: Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... https://opennet.dev/openforum/vsluhforumID3/97560.html Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 0.9.8zb (http://marc.info/?l=openssl-announce&m=140736716402308&w=2), 1.0.0n (http://marc.info/?l=openssl-announce&m=140736798102522&w=2) и 1.0.1i (http://marc.info/?l=openssl-announce&m=140737022103113&w=2) в которых устранено 9 уязвимостей (https://www.openssl.org/news/secadv_20140806.txt). Шесть проблем выявлены сотрудниками Google. <br><br><br>Уязвимости CVE-2014-3506, CVE-2014-3510, CVE-2014-3507 и CVE-2014-3505 могут быть использованы для инициировании отказа в обслуживании (крах процесса) при использовании протокола DTLS (https://ru.wikipedia.org/wiki/DTLS).<br><br><br>Уязвимость CVE-2014-3512 может привести к записи данных за границы буфера при обработке некорректных параметров SRP в приложениях для которых включена поддержка SRP (https://ru.wikipedia.org/wiki/SRP).<br><br>Проблема CVE-2014-3511 позволяет организовать MITM-атаку по откату на TLS 1.0 вместо использования более современной версии протокола при получении серверов некорректно фрагмен Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Куяврег) https://opennet.dev/openforum/vsluhforumID3/97560.html#39 Fri, 08 Aug 2014 14:49:35 GMT ...уютная ппашечка, интерграция с системды... ну, ты знаешь, чо делать, верно?<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Нанобот) https://opennet.dev/openforum/vsluhforumID3/97560.html#38 Fri, 08 Aug 2014 10:42:48 GMT &gt;&gt; теперь будем надеется что в либре ссл такого небудет<br>&gt;С чего _вдруг_? Ничнего ж не поменялось в Порядке Вещей<br><br>ты что, хочешь лишить человека Надежды?!!<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#37 Fri, 08 Aug 2014 08:11:50 GMT &gt; Да все просто: опенбздельники выпилят сборку подо все кроме опенбзды и багов <br>&gt; в этой либе у вас не будет по чисто техническим причинам. <br>&gt; Ведь если код не запускается то и баги подпихнуть не может. <br><br>... Сказал человек, который configure для LibreSSL ни разу не запускал, не то что make.<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#35 Fri, 08 Aug 2014 05:33:03 GMT Маркетинговый буллшит про две удалённых уязвимости настиг и вас.<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#34 Fri, 08 Aug 2014 03:07:05 GMT &gt;&gt; И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, <br>&gt;&gt; привыкшие к дому Васи, могли по дому Пети ходить с закрытыми <br>&gt;&gt; глазами. Но уже без мусора.<br>&gt; Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, <br>&gt; разберемся где там тараканы, где стул, а где гости. И что <br>&gt; надо удалить.<br>&gt; А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и <br>&gt; в архитектуре и юзабилити был такой же спец как и в <br>&gt; бытовых вопросах - дом Пети оставляет желать много лучшего.<br><br>Технически - да, так точнее. :) Но суть не меняется.<br><br>И, к слову, Петя сейчас усердно работает над имеющимися проблемами. В том числе делает отдельную, не очень большую, но очень удобную пристройку, специально для гостей... Но это уже предмет отдельного, не дырозатыкательного, релиза. :)<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#32 Fri, 08 Aug 2014 01:07:25 GMT &gt; "Совместимость важнее производительности" чего-нибудь говорит, не?<br><br>А здесь не о производительности, здесь уже о стабильности и безопасности. Но вы в вашем праве пользоваться MS-DOS, там совместимость уже никто портить не будет, стопудово.<br><br>&gt; Мир не ограничен 17ю дюймами твоего персонального локалхоста, сечешь?<br><br>Подумаешь, на десяток дюймов пролошился. Ну не все же бомжи как вы :).<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#31 Fri, 08 Aug 2014 01:05:29 GMT &gt; 1. Нет такого протокола сеансового уровня, пИтросян.<br><br>На самом деле есть, но его называют Secure Sockets Layer по какому-то недоразумению, если не саботажу.<br><br>&gt; 2. Ты бы об этих уязвимостях никогда до старости лет не узнал <br>&gt; бы, если бы тебе в нос ими не тыкнули.<br><br>Не отменяет того факта что они есть. А невъ....ного размера код для переросточного протокола, который я до старости не смогу проанализироваьт - это БАГ а не фича.<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#30 Fri, 08 Aug 2014 01:02:38 GMT &gt; И Петя строит свой дом неподалёку. Похожая планировка - так, чтобы гости, <br>&gt; привыкшие к дому Васи, могли по дому Пети ходить с закрытыми <br>&gt; глазами. Но уже без мусора.<br><br>Щазззззз!!! Петя взял да и скопировал поатомарно дом Васи. А потом, дескать, разберемся где там тараканы, где стул, а где гости. И что надо удалить. <br><br>А учитывая что планировка дома Васи больше напоминала лабиринт, ибо Вася и в архитектуре и юзабилити был такой же спец как и в бытовых вопросах - дом Пети оставляет желать много лучшего.<br> Обновление OpenSSL 0.9.8zb, 1.0.0n и 1.0.1i с устранением 9 ... (Аноним) https://opennet.dev/openforum/vsluhforumID3/97560.html#29 Fri, 08 Aug 2014 00:59:43 GMT &gt; И тем не менее, подход проекта openbsd к кодированию - лучший,<br><br>Ну не знаю, openssh они накодировали в огромного переросточного монстра с кучей всякой вспомогательной и нафигнужной муиты. В результате на то чтобы прочитать его код и проверить что там все честно - надо *месяцы* просадить. Их openssh превратился в монстрюгу.<br><br>&gt; к сожалению, пример на данный момент. Остальные только про свои пороки вспоминают. <br><br>Да мы можем и про опенбсдшные, если надо.<br>