URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 122652
[ Назад ]
Исходное сообщение
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости"
Отправлено opennews , 10-Дек-20 09:40
Сформированы корректирующие выпуски криптографических библиотек OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5, в которых устранена уязвимость (CVE-2020-1971) в обработчике структур ASN.1. Проблема позволяет инициировать крах клиентского или серверного приложения, использующего OpenSSL или LibreSSL, при обработке специально оформленных сертификатов и списков отозванных сертификатов (CRL)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54233
Содержание
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:40 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,YetAnotherOnanym, 11:54 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 15:48 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,YetAnotherOnanym, 15:55 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 16:42 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,ананим.orig, 19:13 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 20:08 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 23:28 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,kmeaw, 07:55 , 13-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:45 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 13:44 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,ИмяХ, 18:55 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Анан, 21:26 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:17 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 06:39 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Анон332, 00:56 , 13-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноньимъ, 06:09 , 13-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,лютый жабби__, 13:46 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Андрей, 14:18 , 10-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 03:03 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 06:49 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,лютый жабби__, 08:52 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:25 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 09:43 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:27 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,red75prim, 10:30 , 13-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:18 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 10:15 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ivan_83, 13:48 , 11-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Аноним, 00:19 , 12-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,пох., 11:31 , 15-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ivan_83, 01:59 , 26-Дек-20
- Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз...,Ефросий, 10:08 , 14-Дек-20
Сообщения в этом обсуждении
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 09:40
... и в старых вёдрах её никто не пофиксит. Пересборка же библиотеки и подмена её в системе приводит к неработоспособности системы (бутлуп), видимо потому, что JNI-библиотека намертво с ней слинкована (аналогичная ситуация с SQLite, хотя, казалось бы, что у SQLite очень стабильное API). Единственный выход - пересобрать систему в целом. Гугл за благополучие своих партнёров, а через них - и гугла, всех нас поимел.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено YetAnotherOnanym , 10-Дек-20 11:54
> JNI-библиотекаЕсли ты про Андроед, то всем, у кого есть голова на плечах, давным-давно понятно, что и Гуглу, и производителям смартфонов накласть на пользователей.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 15:48
Я тебе больше скажу: всем на всех накласть.
Тебе на меня накласть, мне на тебя накласть.
Поэтому какбы так себе аргумент про людей с головой на плечах...
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено YetAnotherOnanym , 10-Дек-20 15:55
> всем на всех накластьВо-первых, как всегда, отучаемся говорить за всех.
> мне на тебя накласть
Во-вторых, было бы накласть - не тратил бы время на ответ.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 16:42
Ну кого вы обманываете, он ведь прав :)И на ответ время тратится исключительно для собственного удовлетворения и уж никак не для того чтобы кому-то нанести добро.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено ананим.orig , 10-Дек-20 19:13
Враньё и лукавство.
Лично я искренне пытаюсь помочь (и в коментах, и в патчах) пока не появляется такой как вы.
Собсно опеннет в частности (и опенсорс вообще) именно об этом.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 20:08
У меня huawei, вчера пришло обновление безопасности. Смарту года 3.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 23:28
У меня Redmi 5 Обновление пришло год назад, но не обновляюсь специально, потому что они постоянно ломают всё и замедляют
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено kmeaw , 13-Дек-20 07:55
Некоторые обновления содержат новые настройки для клиента обновлений. Поэтому по "обновление пришло год назад" нельзя сделать вывод, что нет свежих обновлений.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 09:45
А могилле отдельное спасибо за новый файрфокс для ведёр. И за невозможность для обычных людей поэкспериментировать со сборкой нового Firefox для старых ведёр.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 10-Дек-20 13:44
> вызвана разыменованием нулевого указателяha-ha, classic
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено ИмяХ , 10-Дек-20 18:55
Если бы была растишка, то такого бы не было.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Анан , 10-Дек-20 21:26
давно пора перписать хотябы OpenSSL
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 00:17
Было бы. Хорэ уже себя обманывать и вводить людей в заблуждение. На растишке оно бы просто падало и всё.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 06:39
Руст всё ещё не защищает от 99% ошибок, прекрати обманывать себя и остальных.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Анон332 , 13-Дек-20 00:56
Фрактал, ну может уже хватит?
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноньимъ , 13-Дек-20 06:09
Увы, технологии древних позволявшие писать без ошибок забыты. Сишка победила.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено лютый жабби__ , 10-Дек-20 13:46
кваква, зачем Continent, когда есть волшебный openssl?
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Андрей , 10-Дек-20 14:18
> OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5,Но ведь в LibreSSL не должно было быть такого бага. Они же там всё почистили </ирония>. И это же единственное преимущество. Было.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 11-Дек-20 03:03
>Уязвимость вызвана разыменованием нулевого указателяНе надоело писать на дырявом языке?
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 11-Дек-20 06:49
Язык не может быть дырявым. Это у некоторых программистов руки растут из жопы.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено лютый жабби__ , 11-Дек-20 08:52
>Это у некоторых программистов руки растут из жопы.теоретик опеннета ) у всех программистов встречаются ошибки, в ЛУЧШЕМ случае около 1 на 1000 строчек...
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 00:25
А чего ты завёлся? Сам же теоретик да едё и с цифрами от балды. От то таки прав. Только у растоманов одних святая вера что язык за них всё сделает. При этом дальше hello world они не писали и врятли напишут. Мозга не хватит.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 11-Дек-20 09:43
https://upload.wikimedia.org/wikipedia/commons/3/3a/Piercing...
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 00:27
А сказать то что хотел?
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено red75prim , 13-Дек-20 10:30
Переведу на более понятный язык: "Отсутствие техники безопасности не может приводить к проблемам - это люди тупые".
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 00:18
Тебе очевидно лучше вообще ничего ни писать. Ни на каком языке.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 11-Дек-20 10:15
ASN.1 - это рак, конечно
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Ivan_83 , 11-Дек-20 13:48
А что такого?
Он как xml, json только бинарный.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Аноним , 12-Дек-20 00:19
Вот и вылез обжэсоненый с ног до головы.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено пох. , 15-Дек-20 11:31
Ну правду же при этом сказал - он и действительно "как xml" (то есть не распарсишь без громадной, кишащей неустранимыми, просто в силу размеров кода, багами, библиотеки) - только еще и бинарный, c совершенно невменяемой внутренней структурой. ;-)То ли рептилоиды нам на погибель придумали, то ли NSA, то ли просто сборище идиотов, собравшихся в комитет по причине профнепригодности ни для чего полезного. Ставлю на идиотов.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Ivan_83 , 26-Дек-20 01:59
Код парсинга ASN.1 довольно простой и компактный, по крайней мере у меня получился.
Для json, xml кода больше.
Все эти форматы решают в общем то одну задачу: хранения данных в которых есть иерархия/вложенность.
Есть ещё гугловый протобуф, и теперь видимо то что в http2, но видимо оно ещё хуже.
"Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уяз..."
Отправлено Ефросий , 14-Дек-20 10:08
Везде пишут про 1.1.1, а что там с дебианами? Всё ещё "The impact of this issue on OpenSSL 1.1.0 has not been analysed."?