Сформированы корректирующие выпуски криптографических библиотек OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5, в которых устранена уязвимость  (CVE-2020-1971) в обработчике структур ASN.1. Проблема позволяет инициировать крах клиентского или серверного приложения, использующего OpenSSL или LibreSSL, при обработке специально оформленных сертификатов и списков отозванных сертификатов (CRL)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54233

• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:40 , 10-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,YetAnotherOnanym, 11:54 , 10-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 15:48 , 10-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,YetAnotherOnanym, 15:55 , 10-Дек-20
        • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 16:42 , 10-Дек-20
          • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,ананим.orig, 19:13 , 10-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 20:08 , 10-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 23:28 , 10-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,kmeaw, 07:55 , 13-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:45 , 10-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 13:44 , 10-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,ИмяХ, 18:55 , 10-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Анан, 21:26 , 10-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:17 , 12-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 06:39 , 12-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Анон332, 00:56 , 13-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноньимъ, 06:09 , 13-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,лютый жабби__, 13:46 , 10-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Андрей, 14:18 , 10-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 03:03 , 11-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 06:49 , 11-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,лютый жабби__, 08:52 , 11-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:25 , 12-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:43 , 11-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:27 , 12-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,red75prim, 10:30 , 13-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:18 , 12-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 10:15 , 11-Дек-20
  • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ivan_83, 13:48 , 11-Дек-20
    • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:19 , 12-Дек-20
      • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,пох., 11:31 , 15-Дек-20
        • Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ivan_83, 01:59 , 26-Дек-20
• Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ефросий, 10:08 , 14-Дек-20

... и в старых вёдрах её никто не пофиксит. Пересборка же библиотеки и подмена её в системе приводит к неработоспособности системы (бутлуп), видимо потому, что JNI-библиотека намертво с ней слинкована (аналогичная ситуация с SQLite, хотя, казалось бы, что у SQLite очень стабильное API). Единственный выход - пересобрать систему в целом. Гугл за благополучие своих партнёров, а через них - и гугла, всех нас поимел.

> JNI-библиотека

Если ты про Андроед, то всем, у кого есть голова на плечах, давным-давно понятно, что и Гуглу, и производителям смартфонов накласть на пользователей.

Я тебе больше скажу: всем на всех накласть.
Тебе на меня накласть, мне на тебя накласть.
Поэтому какбы так себе аргумент про людей с головой на плечах...

> всем на всех накласть

Во-первых, как всегда, отучаемся говорить за всех.
> мне на тебя накласть

Во-вторых, было бы накласть - не тратил бы время на ответ.

Ну кого вы обманываете, он ведь прав :)

И на ответ время тратится исключительно для собственного удовлетворения и уж никак не для того чтобы кому-то нанести добро.

Враньё и лукавство.
Лично я искренне пытаюсь помочь (и в коментах, и в патчах) пока не появляется такой как вы.
Собсно опеннет в частности (и опенсорс вообще) именно об этом.

У меня huawei, вчера пришло обновление безопасности. Смарту года 3.

У меня Redmi 5 Обновление пришло год назад, но не обновляюсь специально, потому что они постоянно ломают всё и замедляют

Некоторые обновления содержат новые настройки для клиента обновлений. Поэтому по "обновление пришло год назад" нельзя сделать вывод, что нет свежих обновлений.

А могилле отдельное спасибо за новый файрфокс для ведёр. И за невозможность для обычных людей поэкспериментировать со сборкой нового Firefox для старых ведёр.

> вызвана разыменованием нулевого указателя

ha-ha, classic

Если бы была растишка, то такого бы не было.

давно пора перписать хотябы OpenSSL

Было бы. Хорэ уже себя обманывать и вводить людей в заблуждение. На растишке оно бы просто падало и всё.

Руст всё ещё не защищает от 99% ошибок, прекрати обманывать себя и остальных.

Фрактал, ну может уже хватит?

Увы, технологии древних позволявшие писать без ошибок забыты. Сишка победила.

кваква, зачем Continent, когда есть волшебный openssl?

> OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5,

Но ведь в LibreSSL не должно было быть такого бага. Они же там всё почистили </ирония>. И это же единственное преимущество. Было.

>Уязвимость вызвана разыменованием нулевого указателя

Не надоело писать на дырявом языке?

Язык не может быть дырявым. Это у некоторых программистов руки растут из жопы.

>Это у некоторых программистов руки растут из жопы.

теоретик опеннета ) у всех программистов встречаются ошибки, в ЛУЧШЕМ случае около 1 на 1000 строчек...

А чего ты завёлся? Сам же теоретик да едё и с цифрами от балды. От то таки прав. Только у растоманов одних святая вера что язык за них всё сделает. При этом дальше hello world они не писали и врятли напишут. Мозга не хватит.

https://upload.wikimedia.org/wikipedia/commons/3/3a/Piercing...

А сказать то что хотел?

Переведу на более понятный язык: "Отсутствие техники безопасности не может приводить к проблемам - это люди тупые".

Тебе очевидно лучше вообще ничего ни писать. Ни на каком языке.

ASN.1 - это рак, конечно

А что такого?
Он как xml, json только бинарный.

Вот и вылез обжэсоненый с ног до головы.

Ну правду же при этом сказал - он и действительно "как xml" (то есть не распарсишь без громадной, кишащей неустранимыми, просто в силу размеров кода, багами, библиотеки) - только еще и бинарный, c совершенно невменяемой внутренней структурой. ;-)

То ли рептилоиды нам на погибель придумали, то ли NSA, то ли просто сборище идиотов, собравшихся в комитет по причине профнепригодности ни для чего полезного. Ставлю на идиотов.

Код парсинга ASN.1 довольно простой и компактный, по крайней мере у меня получился.
Для json, xml кода больше.
Все эти форматы решают в общем то одну задачу: хранения данных в которых есть иерархия/вложенность.
Есть ещё гугловый протобуф, и теперь видимо то что в http2, но видимо оно ещё хуже.

Везде пишут про 1.1.1, а что там с дебианами? Всё ещё "The impact of this issue on OpenSSL 1.1.0 has not been analysed."?