forum.opennet.ru - "Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 " (141)

"Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 "	+/–
Сообщение от opennews (??), 01-Ноя-22, 20:00
Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 3.0.7, в котором устранены две уязвимости. Обе проблемы вызваны переполнением буфера в коде проверки поля с email-адресом в сертификатах X.509 и потенциально могут привести к выполнению кода при обработке специально оформленного сертификата. На момент публикации исправления разработчиками OpenSSL не было зафиксировано фактов наличия рабочего эксплоита, способного привести к выполнению кода атакующего... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58025
Ответить \| Правка \| Cообщить модератору

Оглавление

Опять ненастоящие Сишники, да что ж такое , Аноним (1), 20:00 , 01-Ноя-22, (1) +16

Это, конечно, не вебмакаки Вебмакакам до такого уровня ещё деградировать и дегр, Аноним (1), 20:02 , 01-Ноя-22, (4) +2

Ubuntu packages are built with stack protector, reducing theimpact of this CVE f, Аноним (53), 02:19 , 02-Ноя-22, (53)

Сишники настолько умные, относительно растоманов, что зачастую брезгуют любыми п, ВлезВТопик (?), 07:38 , 02-Ноя-22, (70) –1

Смени топик на майку , Аноним (116), 13:58 , 02-Ноя-22, (116) +1

Лучше на зайку, Аноним (147), 14:55 , 03-Ноя-22, (147)

Что-то последнее время часто появляются уязвимости в НОВОМ коде, а в старых ве, Аноним (9), 20:16 , 01-Ноя-22, (9) +4

Деградация, жертвы питона освоили C , Аноним (18), 20:40 , 01-Ноя-22, (18)
у дидов обычно уязвимости на уровне спецификации протокола, Аноним (20), 20:42 , 01-Ноя-22, (20) +1

то не уязвимость, а закладка от АНБ была , Аноним (9), 21:08 , 01-Ноя-22, (31) +4

Heartbleed такой - ну да, ну да , another_one (ok), 20:49 , 01-Ноя-22, (25)

Кстати, его всегда можно было отключать, или это потом уже придумали Там вообще, Аноним (44), 23:08 , 01-Ноя-22, (44)

MS овская многоходовка , Аноним (59), 05:23 , 02-Ноя-22, (59)

Как только Лёня всплыл в проруби микрософта - уже ничему не удивляешься , Аноним (9), 09:54 , 02-Ноя-22, (89) +1

Не веб-макаки говоришь Ты фиксы смотрел Это хуже чем любой вебмакакинг - if, Аноним (19), 20:41 , 01-Ноя-22, (19) +3

растаманы бы написали if written_out max_out , Аноним (9), 21:10 , 01-Ноя-22, (32)

Что бы сделали растаманы - твои маняфантазии А что сделали сишники - мы все уже , Аноним (107), 13:30 , 02-Ноя-22, (107) +2

Но и кода ты растик не показал, microsoft (?), 22:00 , 02-Ноя-22, (140)

И что здесь такого Чел забыл, что чек происходит уже после того, как данные пиш, Аноним (61), 06:36 , 02-Ноя-22, (61)

Точно известно А через неделю не забудешь Через месяц А коллегам не забудешь , Аноним (63), 06:57 , 02-Ноя-22, (63)
Если ограничиться фрагментом из патча и не вникать в остальной код, то written_o, n00by (ok), 09:33 , 02-Ноя-22, (82) –2

Ты про defensive programming слышал Опыт программирования, особенно на языках т, Аноним (126), 17:10 , 02-Ноя-22, (126) +1

ты на ник его посмотри и не задавай глупых вопросов, Аноним (141), 04:08 , 03-Ноя-22, (141) –1

Работает ведь Особенно зачётно, когда персонаж без имени такое пишет , n00by (ok), 09:47 , 03-Ноя-22, (145) +1

Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords, n00by (ok), 09:29 , 03-Ноя-22, (144)

Ошибиться на 1 символ это самая частая ошибка, у людей нервная система так работ, Аноним (63), 06:53 , 02-Ноя-22, (62) +2

Что-то всё чаще и чаще мелькает бубнеж этой мантры Не надоело , Аноним (35), 21:13 , 01-Ноя-22, (35) –1

Смотрите комментарий над проблемной функцией code - Pseudocode functio, n00by (ok), 09:47 , 02-Ноя-22, (87) –1

npm audit fixhttps vuldb com recent 202211, Без аргументов (?), 22:49 , 01-Ноя-22, (41) –1

https vuldb com recent 202210, Без аргументов (?), 22:50 , 01-Ноя-22, (42) +2
Но вы же не веб-макака и знаете что такое шина адреса она вообще есть у совреме, Аноним (63), 10:06 , 02-Ноя-22, (90) –1

Я просто возьму Qt WxWidgets, Pure JS как макаки называют отдельную технологию, Без аргументов (?), 13:46 , 02-Ноя-22, (108)

не Pure, Vanilla JS точнее каких только не развели, Без аргументов (?), 13:55 , 02-Ноя-22, (113)

Java Spring, наконец Это касательно с фронтендом, кроме Go , Без аргументов (?), 13:47 , 02-Ноя-22, (109)

Я правильно понимаю вы пишете одновременно на 1 go2 qt c 3 WxWidgets c 4 j, Аноним (123), 16:28 , 02-Ноя-22, (123)

Женщина-программист Чего только не выдумывают на опеннете , Аноним (-), 16:42 , 02-Ноя-22, (124) –1

У меня была сеньёрша по шарпам Реально Просто место работы надо менять, и выби, Без аргументов (?), 18:55 , 02-Ноя-22, (136)

Если это не просто перечисление всех известных вам названий технологий, Аноним (123), 17:48 , 02-Ноя-22, (129)

На Java меньше всего, даже забыл 9 лет назад Я просто знаю, что жили нормально, Без аргументов (?), 19:05 , 02-Ноя-22, (139)

Мне 32 За компом с 9 игрушки мои компы не тянули На всём этом приходилось Н, Без аргументов (?), 18:50 , 02-Ноя-22, (132)

Как здорово что на опеннет есть настоящие программисты способные писать сразу на, Аноним (63), 06:14 , 03-Ноя-22, (142)

Про схемотехнику, органицию ЭВМ, ПЛИС, ассемблер -- я это всё универ с магистрат, Без аргументов (?), 18:52 , 02-Ноя-22, (134)
Не кикбрейнс же проходил И да, PL SQL Oracle я тоже очень хорошо знал 3 года наз, Без аргументов (?), 18:53 , 02-Ноя-22, (135) +1
вот с JS я не осилил, признаюсь т к фрейморки это уже каждый из них космос, ко, Без аргументов (?), 18:58 , 02-Ноя-22, (137)
Еще сайт делал полностью под ключ на PHP JQuery 5 лет пашет, никакого вебмака, Без аргументов (?), 18:59 , 02-Ноя-22, (138)

Память у вас хорошая Касательно эмбеда верно Си на бэке Cortex M или Go Cor, Без аргументов (?), 13:51 , 02-Ноя-22, (110)

кто делает сервер на cortex m, тот конечно тоже не совсем адекват, Без аргументов (?), 13:56 , 02-Ноя-22, (114)

Про Раст не скажу, пока наблюдаю, Без аргументов (?), 13:51 , 02-Ноя-22, (111)
это всё нужно для SPA-PWA и прочий клей момент с жирным клиентом , Без аргументов (?), 13:53 , 02-Ноя-22, (112)

и кстати удачи в SEO со своими SPA, Без аргументов (?), 13:57 , 02-Ноя-22, (115)

Опять где же настоящие растоманщики , истина в последней инстанции (?), 20:40 , 03-Ноя-22, (152)

OpenSSL, который мы заслужили , Аноним (2), 20:01 , 01-Ноя-22, (2) –1

Ну так для этого и ответвились - всё говно, которое Google не счёл экономически , Аноним (5), 20:05 , 01-Ноя-22, (5) +1

У неё нет пользователей , Аноним (44), 23:09 , 01-Ноя-22, (45) +1
Причём тут GnuTLS Они с OpenSSL ни разу не родственники , Аноним (74), 08:42 , 02-Ноя-22, (74)

Часть софта при сборке из портов FreeBSD даёт выбор использовать GnuTLS или Open, iZEN (ok), 09:15 , 02-Ноя-22, (80)

А из исходников, в большинстве случаев, ты можешь использовать что угодно, что L, bOOster (ok), 10:54 , 02-Ноя-22, (100) +1

В большинстве случаев нет, в софте должна быть явная поддержка в коде Я делал т, Аноним (44), 13:14 , 02-Ноя-22, (105) –1

А может 1 никто не проверяет просто Ведь не new shiny shit, прошлый век, непро, Аноним (5), 20:02 , 01-Ноя-22, (3)

Скорее всего проверяют, ветка 1 х на приватной поддержке вроде , Аноним (59), 05:25 , 02-Ноя-22, (60)

https github com mesalock-linux mesalink - OpenSSL compatibility layer for the, Аноним (5), 20:07 , 01-Ноя-22, (6) –2
Как же достали эти уязвимости Пора переходить на RusTLS , DEF (?), 20:12 , 01-Ноя-22, (7)

Russian TLS , Аноним (2), 20:49 , 01-Ноя-22, (24) +7
Этого никогда не случиться Потому что вы его никогда не допишете , истина в последней инстанции (?), 20:42 , 03-Ноя-22, (153)

А разве Rust защищает от переполнения буффера числа , Аноним (8), 20:13 , 01-Ноя-22, (8) +3

Один из багов в FF показал, что в расте надо так же ручками проверять вхождение , Аноним (9), 20:24 , 01-Ноя-22, (12)

Пруфы в студию , Аноним (19), 20:42 , 01-Ноя-22, (21)

см багтрекер Мозилы, Аноним (9), 21:11 , 01-Ноя-22, (33) –1

Хаха, что и требовалось ожидать Ты только языком трепаться можешь , Аноним (19), 21:15 , 01-Ноя-22, (36)

Не осиливаешь в поиск Как ты вообще русский язык в прошлом году в 8-ом классе с, Аноним (78), 09:00 , 02-Ноя-22, (78)

А что происходит когда в расте ты таки обращаешься с массиву по неверному индекс, Анонн (?), 20:47 , 01-Ноя-22, (23)

в конкретно том случае всё делалось руками, в т ч кидание паники неуместное, е, Аноним (9), 21:12 , 01-Ноя-22, (34)
Число просто переполняется и становится отрицательным больше ничего интересного , Аноним (78), 09:00 , 02-Ноя-22, (79)

интересное происходит ПОТОМ, когда оно используется в вычислении смещений , Аноним (9), 09:50 , 02-Ноя-22, (88)

Смотря как обращаешься Если вызываешь code get i code то этот метод возвра, freecoder (ok), 23:27 , 03-Ноя-22, (154)

Один из ветров показал, что они дуют, потому что деревья качаются https git op, Аноним (-), 23:41 , 01-Ноя-22, (47) +1

Это одна из основных фитч, так-то , Rev (?), 20:32 , 01-Ноя-22, (14) –2

читай выше , Аноним (9), 20:35 , 01-Ноя-22, (16) +1

Ты же ссылку не привел, что читать Твои больные фантазии , Аноним (63), 07:02 , 02-Ноя-22, (64)

Что-то не работают основные фичи Тогда спрашивается чем debug mode от динамич, Аноним (8), 20:50 , 01-Ноя-22, (26) –1

Работают если знаешь как ошибка будет логическая, а не порча памяти , Анонн (?), 20:53 , 01-Ноя-22, (27)

А почему ты объединяешь эти проблемы Переполнение числа и переполнение буфера а, Аноним (-), 22:28 , 01-Ноя-22, (40) +1

от него кровопролитиев ждали, а он чижика съел Ну и хорошо что так, зря тольк, anonymous (??), 20:19 , 01-Ноя-22, (10) +1

Салтыков-Щедрин, Медведь на воеводстве , ryoken (ok), 08:00 , 02-Ноя-22, (71) +2

Хочешь не хочешь, а уже начинаешь верить в теории заговора, почему этот кусок кр, Самый умный из вас (?), 20:20 , 01-Ноя-22, (11)

Дорого плюс конеретно этот кусок используют все подряд, в нем уже залатали вс, Аноним (53), 02:24 , 02-Ноя-22, (55)
Иксы уже переписали теперь имеется куча багов в новом модном wayland решен, Аноним (53), 02:26 , 02-Ноя-22, (56) +1

Пустозвимость, из-за которой задержали выпуск новой Федоры , Аноним (13), 20:25 , 01-Ноя-22, (13) –1

RawHide в помощь, и ваша Федора всегда будет настолько новой, что прям дальше не, ryoken (ok), 08:01 , 02-Ноя-22, (72)

ну наконец-то libressl может похвастаться что хотя бы этой проблемы у них нет п, Аноним (17), 20:37 , 01-Ноя-22, (17)

Вообще-то немало выявленных в OpenSSL уязвимостей не проявляются в LibreSSL Обр, Аноним (74), 08:46 , 02-Ноя-22, (75) +2

И это нам показывает реальное положение дел, что вообще много всяких помоев в Li, bOOster (ok), 08:58 , 02-Ноя-22, (77)

Ахаха, впрочем ничего нового Фикс с vs просто шикарен И это в штуке, н, Аноним (19), 20:44 , 01-Ноя-22, (22) +2
Дали сишнику два буфера за один он вышел, а второму use-after-free сделал , Аноним (30), 21:08 , 01-Ноя-22, (30) +3

У Пети было 32 байта в буфере 24 он отдал Маше, а оставшиеся 128 8212 Ване , Аноним (20), 21:25 , 01-Ноя-22, (37)

у этой истории есть продолжение там где Петькины 24 байта застряли в Машкины, Аноним (38), 21:54 , 01-Ноя-22, (38) +4
Хочешь сказать у Вани буфера больше, чем у Маши , Онаним. (?), 23:57 , 01-Ноя-22, (50) +1
Петя вставил данных Маше на 24, а Ване - на 128 На каком языке пишет Петя , Аноним (9), 10:18 , 02-Ноя-22, (94)

скорее всего руби, Аноним (126), 16:06 , 02-Ноя-22, (121) +1

В Ф36 будет пакет openssl-3 0 5-2 fc36, а не 3 0 7Получается что это бэкпорт, и , penetrator (?), 22:03 , 01-Ноя-22, (39)

Пусть страдают , анонимус (??), 23:12 , 01-Ноя-22, (46) +1

Кросавчеги У любителей тащить в рот сертификаты автоматом очко на минус уже наве, Онаним. (?), 23:56 , 01-Ноя-22, (49)

Хотя там и клиентского будет достаточно К счастью, дело ограничилось 4 байтами , Онаним. (?), 23:58 , 01-Ноя-22, (51)

Эх, недоработали современные вебмакаки В версии 4 сделают побольше переполнен, Аноним (9), 09:46 , 02-Ноя-22, (86)

А нельзя как-то добавить в C типы данных вроде срез и проверять переполнение, а , Аноним (52), 01:46 , 02-Ноя-22, (52) –2

Зачем что-то добавлять оно уже давно есть, зовется с , Аноним (53), 02:21 , 02-Ноя-22, (54)

Из с нужно как-то убрать сишные указатели на начало последовательности элемент, Аноним (63), 07:11 , 02-Ноя-22, (65) –2

std span, Аноним (73), 08:18 , 02-Ноя-22, (73)
Если для ваших задач не нужен именно C , это не значит, что и всем остальным дл, Аноним (74), 08:53 , 02-Ноя-22, (76)

как говорится никогда не говорите никогда master, slave, blacklist и кто зна, Аноним (83), 09:39 , 02-Ноя-22, (83)
Причем здесь терминология Паскаль например тоже больше 50 лет назад появился Н, Аноним (63), 10:15 , 02-Ноя-22, (93) +1

А в С строки и вектора они появились только в стандарте C 2003, Аноним (63), 10:21 , 02-Ноя-22, (95) +1
В 2012 на С еще в каждой крупной библиотеке еще изобретали свои строки вместо , Аноним (63), 10:24 , 02-Ноя-22, (96) +1

Кутэ тому пример , Аноним (9), 10:50 , 02-Ноя-22, (99) +1

ладно qt, свои строки были даже в Ogre 3D и вроде бы wxwidget Ну вот зачем библи, Аноним (123), 16:04 , 02-Ноя-22, (120)
Когда Qt разрабатывали std string ещё небыло , Аноним (131), 18:48 , 02-Ноя-22, (131)

Это просто показывает насколько удобна, продумана и универсальна эталонная реали, Аноним (107), 13:28 , 02-Ноя-22, (106)

Или то насколько сложно перевести уже существующий продукт на новую библиотеку с, Аноним (131), 18:50 , 02-Ноя-22, (133)

Очень простой рецепт не используй указатели , Аноним (9), 09:41 , 02-Ноя-22, (84)
Зачем убирать Просто не используй , Аноним (131), 18:44 , 02-Ноя-22, (130)

Многого хотите - в Си ещё строки не определены в базовых типах До сих пор польз, iZEN (ok), 09:18 , 02-Ноя-22, (81) +4

А паскаль-то не так уж и плох, как его ругают сишники , Аноним (9), 09:45 , 02-Ноя-22, (85)

Просто в Паскале компилятор самолично высчитывает длину строки А в Си компилято, Аноним (126), 16:14 , 03-Ноя-22, (150)

На самом деле Си транслятор точно так же знает длину 171 строки 187 на этапе, n00by (ok), 17:25 , 03-Ноя-22, (151)

Потому что строки это синтаксический сахар Есть только области памяти с данными,, Ivan_83 (ok), 11:09 , 02-Ноя-22, (101)

Ошибаешься , Аноним (9), 12:03 , 02-Ноя-22, (104)

Он не ошибается А твоё умозаключение приведёт тебя прямиком в ООП языки , Аноним (126), 16:12 , 03-Ноя-22, (149)

фу фу фу, не надо тогда нам этого сахара сегодня сахарка поюзал, а завтра уже с, Аноним (-), 02:00 , 04-Ноя-22, (155)

Уязвимость не стали признавать критической только потому что в ubuntu и redhat в, Аноним (63), 10:09 , 02-Ноя-22, (91) +4

И всё, точка , Аноним (9), 10:12 , 02-Ноя-22, (92) +3

Лично мне кажется что чем больше выполняется проверок компилятором и статическим, Аноним (63), 10:35 , 02-Ноя-22, (97) –1

Теперь ты понимаешь, почему растаманы не смогли сделать очередной божественный я, Аноним (9), 10:48 , 02-Ноя-22, (98) +2

мне всё равно что там не смогли сделать растоманы в kotlin очень много проверок, Аноним (123), 11:58 , 02-Ноя-22, (102)

софта на котлине - как на брейнфаке , Аноним (9), 12:02 , 02-Ноя-22, (103) +1

Это ты так решил , Аноним (117), 14:30 , 02-Ноя-22, (117) –1

Это котлята столько написали , Аноним (9), 17:16 , 02-Ноя-22, (127)

Значительная часть мобильных приложений для андроид, некоторые для ios через kot, Аноним (123), 16:00 , 02-Ноя-22, (119) –2

В моей организации 100500 работников и 9000 манагеров - и никто котлин не исполь, Аноним (9), 17:18 , 02-Ноя-22, (128) +4

Переходим на bearssl Долой выделение памяти , Аноним (-), 16:27 , 02-Ноя-22, (122)
Братья сишники спасайте, мне что теперь, от телефона отказываться In Android, Kl, Аноним (143), 08:12 , 03-Ноя-22, (143) +3

Переходить на iphone, там нет ненавистного местным экспертам раста, Аноним (63), 15:32 , 03-Ноя-22, (148) +1

Сообщения [Сортировка по времени | RSS]

1. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +16 +/–

Сообщение от Аноним (1), 01-Ноя-22, 20:00

Опять ненастоящие Сишники, да что ж такое!

Ответить | Правка | Наверх | Cообщить модератору

4. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (1), 01-Ноя-22, 20:02

Это, конечно, не вебмакаки. Вебмакакам до такого уровня ещё деградировать и деградировать.
Уже массив создать и заполнить не могут.

Ответить | Правка | Наверх | Cообщить модератору

53. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (53), 02-Ноя-22, 02:19

Ubuntu packages are built with stack protector, reducing the
impact of this CVE from remote code execution to a denial of
service.
Если кратко, максимум что грозить кулхацкеру - падение сервиса (билд с защитой стека как в убунте применяется практически во всех дистрах).

Ответить | Правка | Наверх | Cообщить модератору

70. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от ВлезВТопик (?), 02-Ноя-22, 07:38

Сишники настолько умные, относительно растоманов, что зачастую брезгуют любыми проверками кода.
Вот вам и результат студенческого уровня..

Ответить | Правка | Наверх | Cообщить модератору

116. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (116), 02-Ноя-22, 13:58

Смени топик на майку.

Ответить | Правка | Наверх | Cообщить модератору

147. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (147), 03-Ноя-22, 14:55

Лучше на зайку

Ответить | Правка | Наверх | Cообщить модератору

9. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от Аноним (9), 01-Ноя-22, 20:16

> Уязвимости проявляются только в ветке OpenSSL 3.0.x
Что-то последнее время часто появляются "уязвимости" в НОВОМ коде, а в старых версиях всё чисто.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (18), 01-Ноя-22, 20:40

Деградация, жертвы питона освоили C.

Ответить | Правка | Наверх | Cообщить модератору

20. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (20), 01-Ноя-22, 20:42

у дидов обычно уязвимости на уровне спецификации протокола

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

31. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от Аноним (9), 01-Ноя-22, 21:08

то не уязвимость, а закладка от АНБ была.

Ответить | Правка | Наверх | Cообщить модератору

25. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от another_one (ok), 01-Ноя-22, 20:49

> а в старых версиях всё чисто
Heartbleed такой - ну да, ну да...

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

44. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (44), 01-Ноя-22, 23:08

Кстати, его всегда можно было отключать, или это потом уже придумали? Там вообще много чего отключается. Так что страдают в основном хомяки, юзающие предкомпилированные пакеты. Ну ещё хомяки-корпоративные тестеры, как мы видим.

Ответить | Правка | Наверх | Cообщить модератору

59. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (59), 02-Ноя-22, 05:23

MS'овская многоходовка?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

89. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (9), 02-Ноя-22, 09:54

Как только Лёня всплыл в проруби микрософта - уже ничему не удивляешься.

Ответить | Правка | Наверх | Cообщить модератору

19. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +3 +/–

Сообщение от Аноним (19), 01-Ноя-22, 20:41

Не веб-макаки говоришь... Ты фиксы смотрел? Это хуже чем любой вебмакакинг!
- if (written_out > max_out)
+ if (written_out >= max_out)
https://github.com/openssl/openssl/commit/fe3b639dc19b325846...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

32. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 01-Ноя-22, 21:10

растаманы бы написали
if (written_out < max_out)

Ответить | Правка | Наверх | Cообщить модератору

107. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (107), 02-Ноя-22, 13:30

Что бы сделали растаманы - твои маняфантазии.
А что сделали сишники - мы все уже увидели.

Ответить | Правка | Наверх | Cообщить модератору

140. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от microsoft (?), 02-Ноя-22, 22:00

Но и кода ты растик не показал

Ответить | Правка | Наверх | Cообщить модератору

61. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (61), 02-Ноя-22, 06:36

И что здесь такого? Чел забыл, что чек происходит уже после того, как данные пишутся в буффер, а не перед. По вашему было бы лучше обернуть код в кучу for циклов до такой степени, что он перестанет быть читаемым, потому что вам придётся следить за десятками проверок каждого цикла внутри цикла? Или лучше потратить рантайма на бесконечные проверки того, что нам как программисту и так уже известно, но пускай теперь эта проверка будет исполнятся каждую миллисекунду на миллиардах машин по всему миру?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

63. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (63), 02-Ноя-22, 06:57

Точно известно? А через неделю не забудешь? Через месяц? А коллегам не забудешь рассказывать?
А для простых переборов всех элементов массива через foreach проверку во время выполнения можно не проводить

Ответить | Правка | Наверх | Cообщить модератору

82. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от n00by (ok), 02-Ноя-22, 09:33

Если ограничиться фрагментом из патча и не вникать в остальной код, то written_out инкрементируется на 1. Не понятно, зачем там вообще >. Достаточно было бы ==. В смысле, вместо > < <= >= == != выбор сужается до 2-х вариантов сравнения == или !=, и некорректный сразу не проходит тесты. Такому подходу учит концепция итераторов в плюсах, где operator>() может быть не определён.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

126. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (126), 02-Ноя-22, 17:10

> Не понятно, зачем там вообще >. Достаточно было бы ==.
Ты про defensive programming слышал? Опыт программирования, особенно на языках типа C, приучает к такому стилю. Сейчас там может и достаточно было бы ==, а завтра придёт следующий, и за итерацию сделает ++ дважды, а проверку забудет поправить. Поэтому >=.
> Такому подходу учит концепция итераторов в плюсах, где operator>() может быть не определён.
Итератор и int -- это разные вещи, и обращаться с ними надо по-разному.

Ответить | Правка | Наверх | Cообщить модератору

141. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (141), 03-Ноя-22, 04:08

> Ты про defensive programming слышал?
ты на ник его посмотри и не задавай глупых вопросов

Ответить | Правка | Наверх | Cообщить модератору

145. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от n00by (ok), 03-Ноя-22, 09:47

Работает ведь. Особенно зачётно, когда персонаж без имени такое пишет. ;)

Ответить | Правка | Наверх | Cообщить модератору

144. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от n00by (ok), 03-Ноя-22, 09:29

>> Не понятно, зачем там вообще >. Достаточно было бы ==.
> Ты про defensive programming слышал?
Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords и обсуждать сферических коней в ваккуме. И видел вот прям сейчас, что на практике > привел к ошибке, которой бы не было при указанном мной подходе. И висела эта ошибка джва года.
> Сейчас там может и достаточно было бы
> ==, а завтра придёт следующий, и за итерацию сделает ++ дважды,
> а проверку забудет поправить. Поэтому >=.
Очевидно из кода, что не сделает.
> Итератор и int -- это разные вещи, и обращаться с ними надо по-разному.
Если я написал про отсуствие operator>(), наверное, я немного понимаю, что такое итератор. А если не понятно, что итератор приучает машинально писать везде ++i вместо i++, а в сложных случаях, когда это действительно надо, приходится задумываться и избегать вот таких ошибок, так пишите про это прямо.

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

62. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (63), 02-Ноя-22, 06:53

Ошибиться на 1 символ это самая частая ошибка, у людей нервная система так работает.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

35. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (35), 01-Ноя-22, 21:13

> ненастоящие Сишники
Что-то всё чаще и чаще мелькает бубнеж этой мантры. Не надоело?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

87. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от n00by (ok), 02-Ноя-22, 09:47

>> ненастоящие Сишники
> Что-то всё чаще и чаще мелькает бубнеж этой мантры. Не надоело?
Смотрите комментарий над проблемной функцией:

/*-
* Pseudocode:
*
* function ossl_punycode_decode
*  let n = initial_n
*  let i = 0
*  let bias = initial_bias
*  let output = an empty string indexed from 0
*  consume all code points before the last delimiter (if there is one)
*    and copy them to output, fail on any non-basic code point
*  if more than zero code points were consumed then consume one more
*    (which will be the last delimiter)
*  while the input is not exhausted do begin
*    let oldi = i
*    let w = 1
*    for k = base to infinity in steps of base do begin
*      consume a code point, or fail if there was none to consume
*      let digit = the code point's digit-value, fail if it has none
*      let i = i + digit * w, fail on overflow
*      let t = tmin if k <= bias {+ tmin}, or
*              tmax if k >= bias + tmax, or k - bias otherwise
*      if digit < t then break
*      let w = w * (base - t), fail on overflow
*    end
*    let bias = adapt(i - oldi, length(output) + 1, test oldi is 0?)
*    let n = n + i div (length(output) + 1), fail on overflow
*    let i = i mod (length(output) + 1)
*    {if n is a basic code point then fail}
*    insert n into output at position i
*    increment i
*  end
*/

Ответить | Правка | Наверх | Cообщить модератору

41. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Без аргументов (?), 01-Ноя-22, 22:49

npm audit fix
https://vuldb.com/?recent.202211

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

42. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Без аргументов (?), 01-Ноя-22, 22:50

https://vuldb.com/?recent.202210

Ответить | Правка | Наверх | Cообщить модератору

90. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:06

Но вы же не веб-макака и знаете что такое шина адреса (она вообще есть у современных SoC?) и чем отличается гарвардская архитектура от фон Неймановской.
Перепишите со смузихлебного языка js-ts на несмузихлебный... не знаю что Си-GO допустим
Или хотя бы уменьшите количество зависимостей, ведь многих фронтэнд библиотек таких как typescript, react, dart sass, corejs и т.д. нет или почти нет не dev зависимостей.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

108. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:46

Я просто возьму Qt/WxWidgets, Pure JS (как макаки называют "отдельную технологию" чистого JS без фреймворков), и это не будет велосипед, т.к. добавлять пады слева и проверять тип объекта я умею руками.

Ответить | Правка | Наверх | Cообщить модератору

113. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:55

не Pure, Vanilla JS точнее. каких только не развели

Ответить | Правка | Наверх | Cообщить модератору

109. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:47

Java Spring, наконец. Это касательно с фронтендом, кроме Go.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

123. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (123), 02-Ноя-22, 16:28

Я правильно понимаю вы пишете одновременно на:
1) go
2) qt/c++
3) WxWidgets/c++
4) java/spring
5) Pure C для микроконтроллеров
6) фронтэнд на html/css/javascript без "доширак классов MMMMVVVVCCCC SPA"
это в дополнение знаниям архитектур и шин.
Если это не просто перечисление всех известных вам технологий, а действительно хорошо знаете каждую из них это очень здорово. Но не очень правдоподобно.
Например у моей знакомой которая 15 лет программирует с трудом и не до конца удается совмещать 1 бэкэнд на C# и 1 фронтэнд на 1 библиотеке пользовательских интерфейсов Ext JS
Она там один и самых лучших разработчиков.

Ответить | Правка | Наверх | Cообщить модератору

124. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (-), 02-Ноя-22, 16:42

Женщина-программист? Чего только не выдумывают на опеннете.

Ответить | Правка | Наверх | Cообщить модератору

136. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:55

У меня была сеньёрша по шарпам. Реально. Просто место работы надо менять, и выбирать жесть жестяную, где уже в 1 месяц от старшИх нахватаешься.

Ответить | Правка | Наверх | Cообщить модератору

129. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (123), 02-Ноя-22, 17:48

*Если это не просто перечисление всех известных вам названий технологий

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

139. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 19:05

На Java меньше всего, даже забыл. 9 лет назад. Я просто знаю, что жили нормально, всё работало.
А щаз с фаерфокса аликспрэсс глючит, авито глючит, ВК грузит 25МБ шлака, сообщение не отправляется через 2G.

Ответить | Правка | Наверх | Cообщить модератору

132. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:50

Мне 32. За компом с 9 (игрушки мои компы не тянули). На всём этом приходилось. Начиная с ассемблера 486. Плюс тесно в команде коллеги были на всём этом в разное время. Больше всего работал и поныне с Си и Го. JS только для сборки фронта после мерджа.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

142. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (63), 03-Ноя-22, 06:14

Как здорово что на опеннет есть настоящие программисты способные писать сразу на 6-7 и более языках.
Воистину талантливый человек талантлив во всем

Ответить | Правка | Наверх | Cообщить модератору

134. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:52

Про схемотехнику, органицию ЭВМ, ПЛИС, ассемблер -- я это всё универ с магистратурой.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

135. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:53

Не кикбрейнс же проходил.
И да, PL/SQL Oracle я тоже очень хорошо знал 3 года назад, и даже может быть по-сеньерному.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

137. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:58

вот с JS я не осилил, признаюсь. т.к. фрейморки это уже каждый из них космос, который сегодня есть, завтра дырявый и просит обновить с нарушением совместимости. только на чистом для эмбеда.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

138. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 18:59

Еще сайт делал полностью под ключ на PHP + JQuery. 5 лет пашет, никакого вебмакакинга. Загружается весь контент через 2G без gzip на стороне NGINX. Макаки так не могут.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

110. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:51

Память у вас хорошая. Касательно эмбеда верно: Си на бэке (Cortex M) или Go (Cortex A) + веб-морда с простейшим JS (НЕ доширак классов MMMMVVVVCCCC SPA). Несколько десятков килобайт даже без вебпаков, упакованных gzip nginx.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

114. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:56

кто делает сервер на cortex m, тот конечно тоже не совсем адекват

Ответить | Правка | Наверх | Cообщить модератору

111. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:51

Про Раст не скажу, пока наблюдаю

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

112. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:53

> typescript, react, dart sass, corejs
это всё нужно для SPA-PWA и прочий клей момент с жирным клиентом.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

115. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Без аргументов (?), 02-Ноя-22, 13:57

и кстати удачи в SEO со своими SPA

Ответить | Правка | Наверх | Cообщить модератору

152. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от истина в последней инстанции (?), 03-Ноя-22, 20:40

> Опять ненастоящие Сишники, да что ж такое!
Опять где же настоящие растоманщики?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (2), 01-Ноя-22, 20:01

OpenSSL, который мы заслужили.

Ответить | Правка | Наверх | Cообщить модератору

5. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (5), 01-Ноя-22, 20:05

>LibreSSL и BoringSSL, проблеме не подвержены
Ну так для этого и ответвились - всё говно, которое Google не счёл экономически эффективным подвергнуть аудиту, он просто оттуда выпилил.
Что настораживает - про GNU TLS - ни слова! Она тоже подвержена, просто эмбарго не истекло?

Ответить | Правка | Наверх | Cообщить модератору

45. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (44), 01-Ноя-22, 23:09

У неё нет пользователей.

Ответить | Правка | Наверх | Cообщить модератору

74. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (74), 02-Ноя-22, 08:42

Причём тут GnuTLS? Они с OpenSSL ни разу не родственники.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

80. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от iZEN (ok), 02-Ноя-22, 09:15

Часть софта при сборке из портов FreeBSD даёт выбор использовать GnuTLS или OpenSSL.

Ответить | Правка | Наверх | Cообщить модератору

100. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от bOOster (ok), 02-Ноя-22, 10:54

А из исходников, в большинстве случаев, ты можешь использовать что угодно, что LibreSSL, что OpenSSL, что GnuTLS.

Ответить | Правка | Наверх | Cообщить модератору

105. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (44), 02-Ноя-22, 13:14

В большинстве случаев нет, в софте должна быть явная поддержка в коде. Я делал такую поддержку и понимаю почему не хотят тащить настолько лишнее. LibreSSL вообще нет, потому что он нигде толком не поддерживается.

Ответить | Правка | Наверх | Cообщить модератору

3. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (5), 01-Ноя-22, 20:02

>Уязвимости проявляются только в ветке OpenSSL 3.0.x,
А может 1. никто не проверяет просто? Ведь не new shiny shit, прошлый век, непрогрессивно тратить своё время на старьё?

Ответить | Правка | Наверх | Cообщить модератору

60. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (59), 02-Ноя-22, 05:25

Скорее всего проверяют, ветка 1.х на приватной поддержке вроде.

Ответить | Правка | Наверх | Cообщить модератору

6. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от Аноним (5), 01-Ноя-22, 20:07

https://github.com/mesalock-linux/mesalink - OpenSSL compatibility layer for the Rust SSL/TLS stack. Перекатываемся?

Ответить | Правка | Наверх | Cообщить модератору

7. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от DEF (?), 01-Ноя-22, 20:12

Как же достали эти уязвимости. Пора переходить на RusTLS.

Ответить | Правка | Наверх | Cообщить модератору

24. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +7 +/–

Сообщение от Аноним (2), 01-Ноя-22, 20:49

Russian TLS?

Ответить | Правка | Наверх | Cообщить модератору

153. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от истина в последней инстанции (?), 03-Ноя-22, 20:42

Этого никогда не случиться. Потому что вы его никогда не допишете.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +3 +/–

Сообщение от Аноним (8), 01-Ноя-22, 20:13

А разве Rust защищает от переполнения буффера/числа?

Ответить | Правка | Наверх | Cообщить модератору

12. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 01-Ноя-22, 20:24

Один из багов в FF показал, что в расте надо так же ручками проверять вхождение индекса в массив. Это про тот самый случай, когда растаманы перепутали знаки больше-меньше.

Ответить | Правка | Наверх | Cообщить модератору

21. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (19), 01-Ноя-22, 20:42

Пруфы в студию.

Ответить | Правка | Наверх | Cообщить модератору

33. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (9), 01-Ноя-22, 21:11

см. багтрекер Мозилы

Ответить | Правка | Наверх | Cообщить модератору

36. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (19), 01-Ноя-22, 21:15

Хаха, что и требовалось ожидать. Ты только языком трепаться можешь.

Ответить | Правка | Наверх | Cообщить модератору

78. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (78), 02-Ноя-22, 09:00

Не осиливаешь в поиск? Как ты вообще русский язык в прошлом году в 8-ом классе сдал?

Ответить | Правка | Наверх | Cообщить модератору

23. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Анонн (?), 01-Ноя-22, 20:47

А что происходит когда в расте ты таки обращаешься с массиву по неверному индексу?
Тоже RCE получаешь, или прога просто паникует?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

34. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 01-Ноя-22, 21:12

в конкретно том случае всё делалось руками, в т.ч. кидание паники (неуместное, естественно, из-за перепутанного знака сравнения).

Ответить | Правка | Наверх | Cообщить модератору

79. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (78), 02-Ноя-22, 09:00

Число просто переполняется и становится отрицательным больше ничего интересного не происходит.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

88. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 09:50

> больше ничего интересного не происходит
интересное происходит ПОТОМ, когда оно используется в вычислении смещений...

Ответить | Правка | Наверх | Cообщить модератору

154. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от freecoder (ok), 03-Ноя-22, 23:27

Смотря как обращаешься. Если вызываешь
.get(i)
то этот метод возвращает опциональный результат. Если используешь синтаксис с прямоугольными скобками, то будет паника. Если вызываешь
.get_unchecked(i)
то в случае выхода за границу произойдет UB (этот метод unsafe).

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

47. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (-), 01-Ноя-22, 23:41

> Один из багов в FF показал, что в расте надо так же
Один из ветров показал, что они дуют, потому что деревья качаются.
https://git.openssl.org/gitweb/?p=openssl.git;a=blobdiff;f=c...
> ручками проверять вхождение индекса в массив. Это про тот самый случай,
Это тот самый случай, когда местные экспертусы-ламерье палятся по полной.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от Rev (?), 01-Ноя-22, 20:32

Это одна из основных фитч, так-то.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

16. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (9), 01-Ноя-22, 20:35

читай выше.

Ответить | Правка | Наверх | Cообщить модератору

64. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (63), 02-Ноя-22, 07:02

Ты же ссылку не привел, что читать?
Твои больные фантазии?

Ответить | Правка | Наверх | Cообщить модератору

26. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (8), 01-Ноя-22, 20:50

> When you’re compiling in debug mode, Rust includes checks for integer overflow that cause your program to panic at runtime if this behavior occurs. Rust uses the term panicking when a program exits with an error; we’ll discuss panics in more depth in the “Unrecoverable Errors with panic!” section in Chapter 9.
>When you’re compiling in release mode with the --release flag, Rust does not include checks for integer overflow that cause panics. Instead, if overflow occurs, Rust performs two’s complement wrapping. In short, values greater than the maximum value the type can hold “wrap around” to the minimum of the values the type can hold. In the case of a u8, the value 256 becomes 0, the value 257 becomes 1, and so on. The program won’t panic, but the variable will have a value that probably isn’t what you were expecting it to have. Relying on integer overflow’s wrapping behavior is considered an error.
Что-то не работают основные фичи... Тогда спрашивается чем debug mode от динамического анализатора для Си/Цпп отличается? Его можно также не запускать и ошибки уйдут в релиз версию.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Анонн (?), 01-Ноя-22, 20:53

Работают если знаешь как: ошибка будет логическая, а не порча памяти.

Ответить | Правка | Наверх | Cообщить модератору

40. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (-), 01-Ноя-22, 22:28

А почему ты объединяешь эти проблемы? Переполнение числа и переполнение буфера абсолютно раные вещи.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от anonymous (??), 01-Ноя-22, 20:19

"от него кровопролитиев ждали, а он чижика съел". Ну и хорошо что так, зря только народ пугали таинственным эмбарго.

Ответить | Правка | Наверх | Cообщить модератору

71. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от ryoken (ok), 02-Ноя-22, 08:00

>>"от него кровопролитиев ждали, а он чижика съел"
Салтыков-Щедрин, "Медведь на воеводстве". :)

Ответить | Правка | Наверх | Cообщить модератору

11. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Самый умный из вас (?), 01-Ноя-22, 20:20

Хочешь не хочешь, а уже начинаешь верить в теории заговора, почему этот кусок критического г*вна не решились все же переписывать с нормальным проектированием и покрытием всевозможными тестами

Ответить | Правка | Наверх | Cообщить модератору

55. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (53), 02-Ноя-22, 02:24

Дорого... плюс конеретно этот кусок используют все подряд, в нем уже залатали все что только можно и нельзя... и баг только в 3-й версии (новой), и проводит только к DoS в серверных дистрибутивах.

Ответить | Правка | Наверх | Cообщить модератору

56. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (53), 02-Ноя-22, 02:26

Иксы уже переписали... теперь имеется куча багов в новом модном wayland... решение которых очень простое, надо всего-лишь пользоватся иксами. 10 лет как делают, а все не готов.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (13), 01-Ноя-22, 20:25

Пустозвимость, из-за которой задержали выпуск новой Федоры.

Ответить | Правка | Наверх | Cообщить модератору

72. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от ryoken (ok), 02-Ноя-22, 08:01

RawHide в помощь, и ваша Федора всегда будет настолько новой, что прям дальше некуда :D

Ответить | Правка | Наверх | Cообщить модератору

17. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (17), 01-Ноя-22, 20:37

ну наконец-то libressl может похвастаться что хотя бы этой проблемы у них нет (правда, в любой древней версии ее точно так же нет)

Ответить | Правка | Наверх | Cообщить модератору

75. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (74), 02-Ноя-22, 08:46

Вообще-то немало выявленных в OpenSSL уязвимостей не проявляются в LibreSSL. Обратное, кажется, всего один раз имело место.

Ответить | Правка | Наверх | Cообщить модератору

77. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от bOOster (ok), 02-Ноя-22, 08:58

И это нам показывает реальное положение дел, что вообще много всяких помоев в Linux, невозможно в различных BSD.

Ответить | Правка | Наверх | Cообщить модератору

22. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (19), 01-Ноя-22, 20:44

Ахаха, впрочем ничего нового.
Фикс с ">" vs ">=" просто шикарен! И это в штуке, на которой пол-инета держится.

Ответить | Правка | Наверх | Cообщить модератору

30. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +3 +/–

Сообщение от Аноним (30), 01-Ноя-22, 21:08

Дали сишнику два буфера: за один он вышел, а второму use-after-free сделал.

Ответить | Правка | Наверх | Cообщить модератору

37. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (20), 01-Ноя-22, 21:25

У Пети было 32 байта в буфере. 24 он отдал Маше, а оставшиеся 128 — Ване.

Ответить | Правка | Наверх | Cообщить модератору

38. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от Аноним (38), 01-Ноя-22, 21:54

у этой истории есть продолжение ... там где Петькины 24 байта застряли в Машкиных буферах.

Ответить | Правка | Наверх | Cообщить модератору

50. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Онаним. (?), 01-Ноя-22, 23:57

Хочешь сказать у Вани буфера больше, чем у Маши?

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

94. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 10:18

> У Пети было 32 байта в буфере. 24 он отдал Маше, а оставшиеся 128 — Ване.
Петя вставил данных Маше на 24, а Ване - на 128. На каком языке пишет Петя?

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

121. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (126), 02-Ноя-22, 16:06

скорее всего руби

Ответить | Правка | Наверх | Cообщить модератору

39. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от penetrator (?), 01-Ноя-22, 22:03

В Ф36 будет пакет openssl-3.0.5-2.fc36, а не 3.0.7
Получается что это бэкпорт, и кстати, пакет еще не готов, а CVE уже раскрыли.

Ответить | Правка | Наверх | Cообщить модератору

46. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от анонимус (??), 01-Ноя-22, 23:12

Пусть страдают!

Ответить | Правка | Наверх | Cообщить модератору

49. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Онаним. (?), 01-Ноя-22, 23:56

Кросавчеги.
У любителей тащить в рот сертификаты автоматом очко на минус уже наверняка сыграло.

Ответить | Правка | Наверх | Cообщить модератору

51. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Онаним. (?), 01-Ноя-22, 23:58

Хотя там и клиентского будет достаточно. К счастью, дело ограничилось 4 байтами.

Ответить | Правка | Наверх | Cообщить модератору

86. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 09:46

> дело ограничилось 4 байтами
Эх, недоработали современные вебмакаки... В версии 4 сделают побольше переполнения.

Ответить | Правка | Наверх | Cообщить модератору

52. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от Аноним (52), 02-Ноя-22, 01:46

А нельзя как-то добавить в C типы данных вроде срез и проверять переполнение, а еще типы данных список, вектор и т.д.

Ответить | Правка | Наверх | Cообщить модератору

54. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (53), 02-Ноя-22, 02:21

Зачем что-то добавлять оно уже давно есть, зовется с++.

Ответить | Правка | Наверх | Cообщить модератору

65. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от Аноним (63), 02-Ноя-22, 07:11

Из с++ нужно как-то убрать сишные указатели на начало последовательности элементов которые они называют массивом. И указатель на начало последовательности char которые они называют строкой
Например изобрести unsafe

Ответить | Правка | Наверх | Cообщить модератору

73. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (73), 02-Ноя-22, 08:18

std::span

Ответить | Правка | Наверх | Cообщить модератору

76. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (74), 02-Ноя-22, 08:53

Если для ваших задач не нужен именно C++, это не значит, что и всем остальным для их задач он тоже не подходит.
Уж могли бы и сами догадаться, что терминологию в языке, появившемся почти сорок лет назад, никто для вашего душевного спокойствия менять не будет.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

83. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (83), 02-Ноя-22, 09:39

>>> никто для вашего душевного спокойствия менять не будет <<<
как говорится никогда не говорите никогда: master, slave, blacklist... и кто знает что они придумают ещё.

Ответить | Правка | Наверх | Cообщить модератору

93. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:15

Причем здесь терминология? Паскаль например тоже больше 50 лет назад появился. Но там почему-то уже были настоящие строки с размером и настоящие массивы (а не указатели на начало) с границами.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

95. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:21

А в С++ строки и вектора они появились только в стандарте C++ 2003

Ответить | Правка | Наверх | Cообщить модератору

96. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:24

В 2012 на С++ еще в каждой крупной библиотеке еще изобретали свои строки вместо std:string

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

99. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (9), 02-Ноя-22, 10:50

> изобретали свои строки вместо std:string
Кутэ тому пример.

Ответить | Правка | Наверх | Cообщить модератору

120. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (123), 02-Ноя-22, 16:04

ладно qt, свои строки были даже в Ogre 3D и вроде бы wxwidget
Ну вот зачем библиотеке для 3D графики собственный аналог std:string?

Ответить | Правка | Наверх | Cообщить модератору

131. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (131), 02-Ноя-22, 18:48

Когда Qt разрабатывали std:string ещё небыло.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

106. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (107), 02-Ноя-22, 13:28

Это просто показывает насколько удобна, продумана и универсальна эталонная реализация в std

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

133. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (131), 02-Ноя-22, 18:50

Или то насколько сложно перевести уже существующий продукт на новую библиотеку с полностью другим API.

Ответить | Правка | Наверх | Cообщить модератору

84. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 09:41

> как-то убрать сишные указатели
Очень простой рецепт: не используй указатели :)

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

130. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (131), 02-Ноя-22, 18:44

Зачем убирать? Просто не используй.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

81. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от iZEN (ok), 02-Ноя-22, 09:18

Многого хотите - в Си ещё строки не определены в базовых типах. До сих пор пользуются последовательностью байтов, конец которой обозначается нулём, и алгоритмом маляра Шлемиля для определения конца и добавления новых данных.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

85. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 09:45

А паскаль-то не так уж и плох, как его ругают сишники...

Ответить | Правка | Наверх | Cообщить модератору

150. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (126), 03-Ноя-22, 16:14

Просто в Паскале компилятор самолично высчитывает длину строки. А в Си компилятор не высчитывает длину строки, длину строки считает программсит.

Ответить | Правка | Наверх | Cообщить модератору

151. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от n00by (ok), 03-Ноя-22, 17:25

На самом деле Си транслятор точно так же знает длину «строки» на этапе трансляции. Иначе он бы не смог бы разместить её в объектном файле.

Ответить | Правка | Наверх | Cообщить модератору

101. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Ivan_83 (ok), 02-Ноя-22, 11:09

Потому что строки это синтаксический сахар.
Есть только области памяти с данными, большего не надо.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

104. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 12:03

> строки это синтаксический сахар
Ошибаешься...

Ответить | Правка | Наверх | Cообщить модератору

149. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (126), 03-Ноя-22, 16:12

> строки это синтаксический сахар
>>Ошибаешься...
Он не ошибается. А твоё умозаключение приведёт тебя прямиком в ООП языки.

Ответить | Правка | Наверх | Cообщить модератору

155. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (-), 04-Ноя-22, 02:00

фу фу фу, не надо тогда нам этого сахара. сегодня сахарка поюзал, а завтра уже с женщинами спишь и об ооп думаешь. фуу гадость

Ответить | Правка | Наверх | Cообщить модератору

91. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:09

Уязвимость не стали признавать критической только потому что в ubuntu и redhat включили защиту стэка в настройках компилятора?
Какое вообще отношение настройки компилятора имеют к уязвимостям в openssl?

Ответить | Правка | Наверх | Cообщить модератору

92. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +3 +/–

Сообщение от Аноним (9), 02-Ноя-22, 10:12

> Уязвимость не стали признавать критической только потому что в ubuntu и redhat
И всё, точка.

Ответить | Правка | Наверх | Cообщить модератору

97. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (63), 02-Ноя-22, 10:35

Лично мне кажется что чем больше выполняется проверок компилятором и статическим анализатором тем лучше.
Органическая нейросеть работающая на химических реакциях и движении ионов, какой бы недостижимо большой она не была, всегда будет скована этой самой химической природой.

Ответить | Правка | Наверх | Cообщить модератору

98. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +2 +/–

Сообщение от Аноним (9), 02-Ноя-22, 10:48

> Органическая нейросеть работающая на химических реакциях и движении ионов, какой бы недостижимо большой она не была, всегда будет скована
Теперь ты понимаешь, почему растаманы не смогли сделать очередной божественный язык?

Ответить | Правка | Наверх | Cообщить модератору

102. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (123), 02-Ноя-22, 11:58

мне всё равно что там не смогли сделать "растоманы"
в kotlin очень много проверок на стадии компиляции и меня это устраивает.

Ответить | Правка | Наверх | Cообщить модератору

103. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (9), 02-Ноя-22, 12:02

софта на котлине - как на брейнфаке.

Ответить | Правка | Наверх | Cообщить модератору

117. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –1 +/–

Сообщение от Аноним (117), 02-Ноя-22, 14:30

Это ты так решил?

Ответить | Правка | Наверх | Cообщить модератору

127. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (9), 02-Ноя-22, 17:16

Это котлята столько написали.

Ответить | Правка | Наверх | Cообщить модератору

119. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." –2 +/–

Сообщение от Аноним (123), 02-Ноя-22, 16:00

Значительная часть мобильных приложений для андроид, некоторые для ios через kotlin mmp и бэкэнд много где написан на котлине.
Например в нашей организации мобильное приложение и часть биллинга, то есть больше чем среднестатистический opennet эксперт написал за всю свою жизнь.

Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

128. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +4 +/–

Сообщение от Аноним (9), 02-Ноя-22, 17:18

> Например в нашей организации
В моей организации 100500 работников и 9000 манагеров - и никто котлин не использует.

Ответить | Правка | Наверх | Cообщить модератору

122. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +/–

Сообщение от Аноним (-), 02-Ноя-22, 16:27

Переходим на bearssl! Долой выделение памяти!

Ответить | Правка | Наверх | Cообщить модератору

143. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +3 +/–

Сообщение от Аноним (143), 03-Ноя-22, 08:12

Братья сишники спасайте, мне что теперь, от телефона отказываться?
In Android, Kleidermacher says a lot of encryption-key-management features are now written in Rust, as is the private internet communication feature DNS over HTTPS, a new version of the ultra-wideband chip stack, and the new Android Virtualization Framework used in Google's custom Tensor G2 chips. He adds that the Android team is increasingly converting connectivity stacks like those for Bluetooth and Wi-Fi to Rust because they are based on complex industry standards and tend to contain a lot of vulnerabilities. In short, the strategy is to start getting incremental security benefits from converting the most exposed or vital software components to Rust first and then working inward from there.
https://www.wired.com/story/rust-secure-programming-language.../

Ответить | Правка | Наверх | Cообщить модератору

148. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..." +1 +/–

Сообщение от Аноним (63), 03-Ноя-22, 15:32

Переходить на iphone, там нет ненавистного местным экспертам раста

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+16 +/–
Сообщение от Аноним (1), 01-Ноя-22, 20:00
Опять ненастоящие Сишники, да что ж такое!
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+2 +/–
	Сообщение от Аноним (1), 01-Ноя-22, 20:02
	Это, конечно, не вебмакаки. Вебмакакам до такого уровня ещё деградировать и деградировать. Уже массив создать и заполнить не могут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (53), 02-Ноя-22, 02:19
	Ubuntu packages are built with stack protector, reducing the impact of this CVE from remote code execution to a denial of service. Если кратко, максимум что грозить кулхацкеру - падение сервиса (билд с защитой стека как в убунте применяется практически во всех дистрах).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
	Сообщение от ВлезВТопик (?), 02-Ноя-22, 07:38
	Сишники настолько умные, относительно растоманов, что зачастую брезгуют любыми проверками кода. Вот вам и результат студенческого уровня..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+1 +/–
	Сообщение от Аноним (116), 02-Ноя-22, 13:58
	Смени топик на майку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	147. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (147), 03-Ноя-22, 14:55
	Лучше на зайку
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+4 +/–
	Сообщение от Аноним (9), 01-Ноя-22, 20:16
	> Уязвимости проявляются только в ветке OpenSSL 3.0.x Что-то последнее время часто появляются "уязвимости" в НОВОМ коде, а в старых версиях всё чисто.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (18), 01-Ноя-22, 20:40
	Деградация, жертвы питона освоили C.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+1 +/–
	Сообщение от Аноним (20), 01-Ноя-22, 20:42
	у дидов обычно уязвимости на уровне спецификации протокола
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	31. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+4 +/–
	Сообщение от Аноним (9), 01-Ноя-22, 21:08
	то не уязвимость, а закладка от АНБ была.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от another_one (ok), 01-Ноя-22, 20:49
	> а в старых версиях всё чисто Heartbleed такой - ну да, ну да...
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	44. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (44), 01-Ноя-22, 23:08
	Кстати, его всегда можно было отключать, или это потом уже придумали? Там вообще много чего отключается. Так что страдают в основном хомяки, юзающие предкомпилированные пакеты. Ну ещё хомяки-корпоративные тестеры, как мы видим.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (59), 02-Ноя-22, 05:23
	MS'овская многоходовка?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	89. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+1 +/–
	Сообщение от Аноним (9), 02-Ноя-22, 09:54
	Как только Лёня всплыл в проруби микрософта - уже ничему не удивляешься.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+3 +/–
	Сообщение от Аноним (19), 01-Ноя-22, 20:41
	Не веб-макаки говоришь... Ты фиксы смотрел? Это хуже чем любой вебмакакинг! - if (written_out > max_out) + if (written_out >= max_out) https://github.com/openssl/openssl/commit/fe3b639dc19b325846...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	32. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (9), 01-Ноя-22, 21:10
	растаманы бы написали if (written_out < max_out)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	107. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+2 +/–
	Сообщение от Аноним (107), 02-Ноя-22, 13:30
	Что бы сделали растаманы - твои маняфантазии. А что сделали сишники - мы все уже увидели.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	140. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от microsoft (?), 02-Ноя-22, 22:00
	Но и кода ты растик не показал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (61), 02-Ноя-22, 06:36
	И что здесь такого? Чел забыл, что чек происходит уже после того, как данные пишутся в буффер, а не перед. По вашему было бы лучше обернуть код в кучу for циклов до такой степени, что он перестанет быть читаемым, потому что вам придётся следить за десятками проверок каждого цикла внутри цикла? Или лучше потратить рантайма на бесконечные проверки того, что нам как программисту и так уже известно, но пускай теперь эта проверка будет исполнятся каждую миллисекунду на миллиардах машин по всему миру?
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	63. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от Аноним (63), 02-Ноя-22, 06:57
	Точно известно? А через неделю не забудешь? Через месяц? А коллегам не забудешь рассказывать? А для простых переборов всех элементов массива через foreach проверку во время выполнения можно не проводить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–2 +/–
	Сообщение от n00by (ok), 02-Ноя-22, 09:33
	Если ограничиться фрагментом из патча и не вникать в остальной код, то written_out инкрементируется на 1. Не понятно, зачем там вообще >. Достаточно было бы ==. В смысле, вместо > < <= >= == != выбор сужается до 2-х вариантов сравнения == или !=, и некорректный сразу не проходит тесты. Такому подходу учит концепция итераторов в плюсах, где operator>() может быть не определён.
	Ответить \| Правка \| К родителю #61 \| Наверх \| Cообщить модератору


	126. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+1 +/–
	Сообщение от Аноним (126), 02-Ноя-22, 17:10
	> Не понятно, зачем там вообще >. Достаточно было бы ==. Ты про defensive programming слышал? Опыт программирования, особенно на языках типа C, приучает к такому стилю. Сейчас там может и достаточно было бы ==, а завтра придёт следующий, и за итерацию сделает ++ дважды, а проверку забудет поправить. Поэтому >=. > Такому подходу учит концепция итераторов в плюсах, где operator>() может быть не определён. Итератор и int -- это разные вещи, и обращаться с ними надо по-разному.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	141. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
	Сообщение от Аноним (141), 03-Ноя-22, 04:08
	> Ты про defensive programming слышал? ты на ник его посмотри и не задавай глупых вопросов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	145. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+1 +/–
	Сообщение от n00by (ok), 03-Ноя-22, 09:47
	Работает ведь. Особенно зачётно, когда персонаж без имени такое пишет. ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	144. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
	Сообщение от n00by (ok), 03-Ноя-22, 09:29
	>> Не понятно, зачем там вообще >. Достаточно было бы ==. > Ты про defensive programming слышал? Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords и обсуждать сферических коней в ваккуме. И видел вот прям сейчас, что на практике > привел к ошибке, которой бы не было при указанном мной подходе. И висела эта ошибка джва года. > Сейчас там может и достаточно было бы > ==, а завтра придёт следующий, и за итерацию сделает ++ дважды, > а проверку забудет поправить. Поэтому >=. Очевидно из кода, что не сделает. > Итератор и int -- это разные вещи, и обращаться с ними надо по-разному. Если я написал про отсуствие operator>(), наверное, я немного понимаю, что такое итератор. А если не понятно, что итератор приучает машинально писать везде ++i вместо i++, а в сложных случаях, когда это действительно надо, приходится задумываться и избегать вот таких ошибок, так пишите про это прямо.
	Ответить \| Правка \| К родителю #126 \| Наверх \| Cообщить модератору


	62. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+2 +/–
	Сообщение от Аноним (63), 02-Ноя-22, 06:53
	Ошибиться на 1 символ это самая частая ошибка, у людей нервная система так работает.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	35. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
	Сообщение от Аноним (35), 01-Ноя-22, 21:13
	> ненастоящие Сишники Что-то всё чаще и чаще мелькает бубнеж этой мантры. Не надоело?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	87. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
	Сообщение от n00by (ok), 02-Ноя-22, 09:47
	>> ненастоящие Сишники > Что-то всё чаще и чаще мелькает бубнеж этой мантры. Не надоело? Смотрите комментарий над проблемной функцией: /- Pseudocode: * * function ossl_punycode_decode * let n = initial_n * let i = 0 * let bias = initial_bias * let output = an empty string indexed from 0 * consume all code points before the last delimiter (if there is one) * and copy them to output, fail on any non-basic code point * if more than zero code points were consumed then consume one more * (which will be the last delimiter) * while the input is not exhausted do begin * let oldi = i * let w = 1 * for k = base to infinity in steps of base do begin * consume a code point, or fail if there was none to consume * let digit = the code point's digit-value, fail if it has none * let i = i + digit * w, fail on overflow * let t = tmin if k <= bias {+ tmin}, or * tmax if k >= bias + tmax, or k - bias otherwise * if digit < t then break * let w = w * (base - t), fail on overflow * end * let bias = adapt(i - oldi, length(output) + 1, test oldi is 0?) * let n = n + i div (length(output) + 1), fail on overflow * let i = i mod (length(output) + 1) * {if n is a basic code point then fail} * insert n into output at position i * increment i * end */
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
	Сообщение от Без аргументов (?), 01-Ноя-22, 22:49
	npm audit fix https://vuldb.com/?recent.202211
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	42. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+2 +/–
	Сообщение от Без аргументов (?), 01-Ноя-22, 22:50
	https://vuldb.com/?recent.202210
	Ответить \| Правка \| Наверх \| Cообщить модератору