OpenForum RSS: Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... https://www.opennet.me/openforum/vsluhforumID3/99449.html Доступны (https://www.openssl.org/news/) корректирующие выпуски OpenSSL 1.0.1j (http://permalink.gmane.org/gmane.comp.encryption.openssl.announce/129), 1.0.0o (http://permalink.gmane.org/gmane.comp.encryption.openssl.announce/130) и 0.9.8zc (http://permalink.gmane.org/gmane.comp.encryption.openssl.announce/131) в которых устранено 3 уязвимости (https://www.openssl.org/news/secadv_20141015.txt), а также представлен обходной путь для защиты от проявления уязвимости (http://www.opennet.ru/opennews/art.shtml?num=40833) в SSL 3.0. В частности, добавлен механизм TLS_FALLBACK_SCSV (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00), мешающий понижению версии протокола защищённого соединения при осуществлении атаки на системы с поддержкой SSLv3.<br><br><br><br>В выпуске OpenSSL 1.0.1j устранена выявленная разработчиками LibreSSL уязвимость CVE-2014-3513, вызванная ошибкой в коде разбора сообщений транспортного протокола DTLS (http://en.wikipedia.org/wiki/Datagram_Transport_Layer_Security)-SRTP (http://en.wikipedia Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (Ононим) https://www.opennet.me/openforum/vsluhforumID3/99449.html#8 Thu, 16 Oct 2014 15:26:15 GMT а вас, товарищ лейтенант, дома жена ждет !<br> Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/99449.html#7 Thu, 16 Oct 2014 14:33:03 GMT По вам обоим психиатр плачет.<br> Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (twilight) https://www.opennet.me/openforum/vsluhforumID3/99449.html#5 Thu, 16 Oct 2014 12:23:10 GMT тащемта есть пара конторок, которые сделали именно так, как вы описали - только у них фокус более общий, без специализации на крипте.<br>Хотя и в индустрии крипты такой бизнес-моделью активно пользуются.<br> Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (Психиатр) https://www.opennet.me/openforum/vsluhforumID3/99449.html#4 Thu, 16 Oct 2014 11:43:55 GMT Гы.<br>Ваш пост навёл на мысль о теории мега-заговора.<br>Создаём продукт призванный отвечать именно за безопасность.<br>Делаем мегазапутанный код, с встроенными by design дырками (специально сделанными отверстиями).<br>Продаём дырки заинтересованным лицам/службам.<br>Изредка закрываем некоторые дырки, чтоб сообщество не сильно материлось.<br>...<br>Profit.<br> Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (edwin3d) https://www.opennet.me/openforum/vsluhforumID3/99449.html#3 Thu, 16 Oct 2014 11:17:41 GMT Я бы добавил слегка .... Там сидят люди не дурные, совсем не дурные. Но код запутан и т.д. Такое впечатление, что это сделано сознательно, чтобы усложнить code analysis. А чтобы удовлетворить публику, периодически ей "бросаю кость" в виде якобы "открытых" уязвимостей <br> Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уя... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/99449.html#1 Thu, 16 Oct 2014 10:43:28 GMT Понапихали гуано в либу, сделали супернавороченные протоколы с кучей легаси и еще удивляются - о, дыры. <br>