The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в OpenSSL 1.1.0a

26.09.2016 17:34

В изменениях, внесённых в опубликованном на прошлой неделе обновлении криптографической библиотеки OpenSSL 1.1.0a, выявлена критическая уязвимость (CVE-2016-6309), которая потенциально может привести к выполнению кода злоумышленника при обработке отправленных им пакетов. Всем пользователям ветки OpenSSL 1.1.0 рекомендуется срочно обновить OpenSSL до версии 1.1.0b. Уязвимость выявлена сотрудниками Google при проведении fuzzing-тестирования нового выпуска инструментом honggfuzz.

Проблема присутствует в выпуске OpenSSL 1.1.0a в коде устранения уязвимости CVE-2016-6307 и проявляется при получении сообщения, размером больше 16 Кб, в ситуации перераспределения и перемещения буфера, отведённого для поступающих сообщений. Суть ошибки в том, что после перераспределения памяти остаётся висячий указатель на старое положение буфера и запись поступившего сообщения производится в ранее уже освобождённую область памяти. Наиболее вероятным результатом подобной записи будет крах, но разработчики не исключают нахождение векторов атаки, при которых возможно организовать выполнение кода атакующего.

Уязвимость помечена как неисправленная в Debian, но, вероятно, по ошибке, так как в Debian не используется выпуск OpenSSL 1.1.0. В RHEL/CentOS, Fedora и SUSE проблема не проявляется. Уязвимость затрагивает Gentoo и порт OpenSSL для FreeBSD.

Интересно, что это не единственная ошибка, допущенная в прошлых выпусках. В представленном 22 сентября обновлении прошлой ветки (OpenSSL 1.0.2i) всплыла менее опасная уязвимость (CVE-2016-7052), в результате которой при попытке использования CRLs возникал крах из-за разыменования нулевого указателя. Проблема устранена в выпуске OpenSSL 1.0.2j.

Дополнение: LibreSSL вышеупомянутым проблемам не подвержен.

  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Обновление OpenSSL с устранением 14 уязвимостей
  3. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  4. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  5. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (100) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iZEN (ok), 17:46, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Почему в критически важных программах до сих пор используют указатели, а не проверяемые на этапе компиляции ссылки?
     
     
  • 2.4, Аноним (-), 17:54, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Потому что в критически важных программах (особенно в криптографии) критически важна скорость и низкое потребление памяти.
     
     
  • 3.5, Аноним (5), 18:25, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как использование ссылок вместо указателей влияет на производительность?
     
     
  • 4.12, Аноним (-), 18:57, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты дурак? OpenSSL написан на С, откуда там ссылки?
     
     
     
    Часть нити удалена модератором

  • 6.22, KonstantinB (ok), 21:38, 26/09/2016 [ответить]  
  • –2 +/
    Управляемый язык подразумевает виртуальную машину. Вот есть Java SSL, например, и что с этим делать вне JRE-мира?
     
  • 6.23, anonymous (??), 21:40, 26/09/2016 [ответить]  
  • –1 +/
    C++ не является управляемым языком, однако ссылки там есть, вывод - надо писать на плюсах. А то на сишечке такой код нормально компилится и ждет своего часа.

        char a[256];
        char *buf = a;
        recv(hSocket, &buf, 256);

     
     
  • 7.24, KonstantinB (ok), 21:46, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы так говорите, как будто в C++ нельзя сделать dangling reference.

    Есть, конечно, smart pointers, но это решает проблемы только локально и не всегда.

     
     
  • 8.34, Аноним (-), 00:04, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Rust ... текст свёрнут, показать
     
     
  • 9.47, KonstantinB (ok), 02:34, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Разве что теоретически - если вообще всё на нем вообще переписать, не используя ... текст свёрнут, показать
     
     
  • 10.78, Аноним (-), 15:10, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Настолько категорично переписывать всё и не обязательно 8211 даже с unsafe-ом... текст свёрнут, показать
     
     
  • 11.80, Аноним (5), 15:23, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Многие проекты на C переносятся на плюсы переименованием файлов в cpp, и добавл... текст свёрнут, показать
     
     
  • 12.83, Аноним (-), 15:39, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Может всё же не стоит путать пренос кода на другой язык с подключением этого же ... текст свёрнут, показать
     
     
  • 13.86, Аноним (5), 17:01, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут некоторые аргументируют выбор языка в пользу С его производительностью, необ... текст свёрнут, показать
     
  • 9.66, Клыкастый (ok), 11:28, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    D ... текст свёрнут, показать
     
     
  • 10.87, Аноним (-), 17:06, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Его главная проблема в том, что он метит скорее к высокоуровенным языкам, и в пл... текст свёрнут, показать
     
     
  • 11.88, Клыкастый (ok), 17:40, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    высокоуровневые это C он от сишника недалеко ушёл, и вынос некоторых вещей на у... текст свёрнут, показать
     
     
  • 12.92, Аноним (-), 18:26, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, не использует Ну, точнее есть самая наивная реализация самртпоинтеров в ст... текст свёрнут, показать
     
     
  • 13.104, Клыкастый (ok), 12:11, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    по хабрам и D-пабликам ходит статья про обёртки для работы с отключеным GC, не о... текст свёрнут, показать
     
  • 13.112, anonymous (??), 09:35, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бред _ptr s и smart_ptr не имеют к GC никакого отношения Все сводится к по... текст свёрнут, показать
     
     
  • 14.113, Аноним (-), 11:08, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Может стоит сначала открыть исходники и посмотреть прежде чем писать Или объясн... текст свёрнут, показать
     
     
  • 15.114, yaa (?), 11:23, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Именно так Вам стоит таки открыть исходники ... текст свёрнут, показать
     
     
  • 16.115, Аноним (-), 16:26, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https github com dlang phobos blob master std typecons d L5016 Ну ... текст свёрнут, показать
     
     
  • 17.116, yaa (?), 19:46, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А, так речь про D Тогда все эти комментарии надо потереть ... текст свёрнут, показать
     
     
  • 18.117, Michael Shigorin (ok), 19:55, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если какие-либо Ваши потеряли смысл после уточнения -- приведите их номера, пожа... текст свёрнут, показать
     
  • 10.90, _ (??), 18:11, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Теперь D принято писать так -D Потому что не взлетели ... текст свёрнут, показать
     
  • 7.59, Аноним (-), 09:53, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так зачем писать фигню, а потом её компилить и релизить?
     
  • 3.40, iZEN (ok), 00:46, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Потому что в критически важных программах (особенно в криптографии) критически важна скорость и низкое потребление памяти.

    Но в Go как-то решили обе эти проблемы. Или нет?
    http://golang-book.ru/chapter-08-pointers.html


     
     
  • 4.49, angra (ok), 02:37, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    http://benchmarksgame.alioth.debian.org/u64q/compare.php?lang=go&lang2=gcc

     
     
  • 5.51, Led (ok), 03:00, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > http://benchmarksgame.alioth.debian.org/u64q/compare.php?lang=go&lang2=gcc

    Результат предсказуем прежде всего из-за слабенького (по сравнению с GCC) оптимизатора в Go.

     
     
  • 6.68, Аноним (-), 11:58, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Результат предсказуем прежде всего из-за слабенького (по сравнению с GCC) оптимизатора в Go.

    Если ты оптимизируешь проверки границ массивов - тормозить, конечно, перестанет, но тогда и проверок не будет :)

     
     
  • 7.76, Аноним84701 (?), 14:31, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Результат предсказуем прежде всего из-за слабенького (по сравнению с GCC) оптимизатора в Go.
    > Если ты оптимизируешь проверки границ массивов - тормозить, конечно, перестанет, но тогда
    > и проверок не будет :)

    Вы еще расскажите, что проверки границ достаточно крупных массивов обязятельно должны тормозить "потому что гладиолус" ;)


     
     
  • 8.97, angra (ok), 23:38, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, не гладиолус, а по причине того, что проверка выполняется при каждой операц... текст свёрнут, показать
     
     
  • 9.99, Аноним84701 (?), 00:47, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    При последовательном обходе, копировании в из и т д mprotect , PROT_NONE на... текст свёрнут, показать
     
     
  • 10.100, angra (ok), 02:15, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Массивы чаще всего используются так a i или так a i , то есть читается ... текст свёрнут, показать
     
     
  • 11.105, Аноним84701 (?), 14:33, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Нужна проверка адреса на валидность перед циклом и ширины шага в самом цикл... текст свёрнут, показать
     
     
  • 12.107, angra (ok), 01:34, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    for i 0 i n i if smth i m a i a i-1 a i-2 b i f a i В... текст свёрнут, показать
     
     
  • 13.108, Аноним84701 (?), 03:35, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну-ну 1 То, что вариант с smth true a -1 a -2 fail можно, соверш... текст свёрнут, показать
     
  • 5.61, Аноним (-), 10:23, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший результат у Go. Даже в таком виде...
     
     
  • 6.65, angra (ok), 10:49, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хороший, не спорю, но Изя то говорил про полное решение проблем с производительностью и памятью, не иначе как с помощью магии. На деле же видим типичный tradeoff и никакого волшебства.
     
  • 2.6, Аноним (-), 18:25, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Потому что C - это религия.
     
     
  • 3.53, Какаянахренразница (ok), 03:06, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Потому что C - это религия.

    Никогда не считал себя религиозным фанатиком, но ты мне не нравишься. [ушёл собирать хворост для костра]

     
  • 2.7, Аноним (5), 18:26, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почему в критически важных программах до сих пор используют указатели, а не
    > проверяемые на этапе компиляции ссылки?

    OpenSSL написан на сишечке, там ссылок нет

     
  • 2.8, Аноним (-), 18:28, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > а не проверяемые на этапе компиляции ссылки?

    Проверяемые кем? Висячие ссылки не менее реальны, чем висячие указатели. И потом, работать ссылками с сырым буфером - это отдельное извращение.

     
     
  • 3.15, Аноним (-), 19:42, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он даже в джаве теоретик, что перед ним бисер метать.
     
  • 2.27, КО (?), 22:51, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потому, что ссылка, указатель и адрес в памяти есть тождественные синонимы одного и того же. Ваш КЭП. :)

    А то, что в некоторых случаях предпочитают не выстраивать системы на постоянных утечках памяти и непредсказуемом времени поведения, так это бывает. Пережитки старой школы программирования. :)

     
  • 2.32, Аноним (-), 00:01, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что ссылки это C++, а тупoрылые ретрограды которые пишут OpenSSL, и, кстати, большую часть FreeBSD, до сих пор используют plain C - устаревший, небезопасный и кoрявый язычoк.
     
     
  • 3.37, Michael Shigorin (ok), 00:11, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Потому что ссылки это C++, а тупoрылые ретрограды которые пишут OpenSSL

    Как же всё-таки безнадёжно выглядят вот такие организмы, почему-то не берущие восхваляемый инструмент в руки и не показывающие, как было надо сделать сразу.

    Особенно забавно, когда вляпываются просто в другие ошибки и начинают поносить то, что вчера восхваляли -- мол, как же, подгузники не подали, оказывается.

    Эх.

     
     
  • 4.43, Sw00p aka Jerom (?), 01:34, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да куеватуча бест практис по секурному кодингу на сях, видать никто не читает, практики статического анализа у сишников нет, есть тока мантра дбг корки и всё, бага - да фиг с ней, корку под дбг и всё решено.

    пс: а по сути большинство возмущений только из-за того, что но вый баг - это последствие фикса старого, и не менее критичного в итоге. вот весь фейспалм, не нужно ругать ЯП. 40 с лишнем лет языку и всегда он был такой - пора бы привыкнуть.

     
     
  • 5.63, труляляй (?), 10:46, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    есть еще копипейст и очепятки, причём во всех языках.
     
  • 5.82, аноним2 (?), 15:28, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > да куеватуча бест практис по секурному кодингу на сях, видать никто не читает

    А можно ссылочку?

     
     
  • 6.94, Sw00p aka Jerom (?), 21:21, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл  помощь, или  примеру на cert.org посмотри, там есть книжка по secure coding
     
  • 4.102, Аноним (-), 11:02, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как же всё-таки безнадёжно выглядят вот такие организмы, почему-то не берущие восхваляемый инструмент в руки и не показывающие, как было надо сделать сразу.

    Так я на C++ пишу. И что-то дырок в моих проектах каждый день по десятку не находят.

    > Особенно забавно, когда вляпываются просто в другие ошибки и начинают поносить то, что вчера восхваляли -- мол, как же, подгузники не подали, оказывается.

    Глупый ты, миша.

     
     
  • 5.103, Michael Shigorin (ok), 11:41, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как же всё-таки безнадёжно выглядят вот такие организмы, почему-то не берущие
    >> восхваляемый инструмент в руки и не показывающие, как было надо сделать сразу.
    > Так я на C++ пишу. И что-то дырок в моих проектах каждый день по десятку не находят.

    Джо, но где же Ваша реализация SSL-библиотеки?

    >> Особенно забавно, когда вляпываются просто в другие ошибки и начинают поносить то,
    >> что вчера восхваляли -- мол, как же, подгузники не подали, оказывается.
    > Глупый ты, миша.

    Может быть.  Только что-то уже повидавший.  В том числе и такое.

     
  • 3.67, невидимка (?), 11:45, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  тупoрылые ретрограды

    А уж генетический код то какой устаревший.... Все эти ДНК,РНК и т.д. УЖАСТЬ КАКОЕ СТАРЬЁ!

     

  • 1.2, Онаним (?), 17:47, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Фак.
    Ну сколько можно так косячить...
     
     
  • 2.18, Аноним (-), 21:14, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Если не будет постоянных багов - программисты останутся без работы. Это как с полицией: если однажды преступность будет полностью побеждена, все полицейские будут уволены за ненадобностью. Си - это программистский хлеб в плане багообразования.
     
     
  • 3.28, scor (ok), 23:21, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > все полицейские будут уволены за ненадобностью

    Вы так говорите, будто это что-то плохое.:)

     
  • 3.44, Sw00p aka Jerom (?), 01:36, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если не будет постоянных багов - программисты останутся без работы. Это как
    > с полицией: если однажды преступность будет полностью побеждена, все полицейские будут
    > уволены за ненадобностью. Си - это программистский хлеб в плане багообразования.

    ага и касперский пишет вирусы )))

     
     
  • 4.109, Аноним (-), 04:31, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ага и касперский не пишет вирусы )))

    fix

     
  • 3.46, angra (ok), 02:32, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Если не будет постоянных багов - программисты останутся без работы.

    Создавать новые программы для тебя не вариант? Предпочитаешь паразитировать на исправлении и добавлении багов в одну и ту же?

    > Это как с полицией: если однажды преступность будет полностью побеждена, все полицейские будут уволены за ненадобностью.

    Предотвращать появление новой преступности будет ненужно? Ты, когда дождик кончается, зонтик сразу выкидываешь за ненадобностью?

     
     
  • 4.50, Сторонник прогресса (?), 02:50, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Для меня - вполне себе вариант Я говорил о сишниках и об их деятельности по мно... текст свёрнут, показать
     
     
  • 5.52, Led (ok), 03:01, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да, я увольняю зонт, запихивая его с глаз долой куда подальше.

    Как для маковода - вполне предсказуемые действия.

     
  • 5.60, curious (?), 10:23, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я говорил о сишниках и об их деятельности по многодесятилетнему созданию и исправлению одних и тех же багов.
    > Топчутся на одном месте, зато зарплата идет. И видимость работы как бы есть.

    То ли дело Java программисты.
    Только вперёд! Если класс, то только с новой функциональностью!
    Без всякой зарплаты! За идею!

     
     
  • 6.77, мда (?), 14:31, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    К чему это или о чем?
     
  • 6.110, Аноним (-), 08:45, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > То ли дело Java программисты.
    > Только вперёд! Если класс, то NullPointerException
    > Без всякой зарплаты! За идею!

    Не удержался.

     
  • 5.64, angra (ok), 10:47, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть с точки зрения эльфа баги есть только в Сишных программах. На php, где нет богомерзких указателей, пишут исключительно безбажные программы?

    Зонт нельзя уволить, это не человек, его можно выкинуть или положить на место. Дай догадаюсь, ты, как положено эльфу, наивен во всем и считаешь, что можно сначала разогнать, а потом с легкостью нанять заново полицию и она будет работать с той же эффективностью.

     
     
  • 6.69, Аноним (-), 12:00, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    На пыхе баги в основном касаются бизнес-логики А на сишечке -- бизнес-логика ... текст свёрнут, показать
     
     
  • 7.70, Michael Shigorin (ok), 12:23, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И много sql injections или csrf бывает в I бузинес-логике I всяких joomla с p... текст свёрнут, показать
     
     
  • 8.71, Аноним (-), 13:18, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Причина ошибок что с sql-инъекциями, что со stack overflow, одна и та же невним... текст свёрнут, показать
     
     
  • 9.72, Michael Shigorin (ok), 13:33, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ура Ну вот, опять сказки пошли Да-да, неломающиеся и неглючащие роботы, кото... текст свёрнут, показать
     
     
  • 10.73, Аноним (-), 13:48, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Повсеместное использование query-build-еров и подстановок - сказка Отнюдь Пыхе... текст свёрнут, показать
     
     
  • 11.75, Michael Shigorin (ok), 13:58, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Разница между распространением и гарантией понятна Так-то и сишные функции раб... текст свёрнут, показать
     
  • 7.74, Аноним84701 (?), 13:55, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в пыхе частенько случались sql-инъекции. Что сделали пыхеры? Стали
    > обращаться к бд посредством безопасных query-builder-ов или подставляя значения в шаблон.

    Слишком жЫрно.
    Те же prepared statements появились в *рен-знает-каком году.
    В пыхе встроенная поддержка как минимум  с 2006 года ... но пыховцы о ней слышали:
    https://www.cvedetails.com/vulnerability-list/opsqli-1/sql-injection.html
    > Total number of vulnerabilities : 6362

    что-то хвалененая обучаемость не спешит проявлятся )

     
  • 7.79, Аноним (-), 15:21, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Конечно можно. Голод не тетка. Эффективность правда будет уже не той. Она будет повыше. Потому что полицейские теперь будут знать, что раз их уже увольняли - в этот раз им понадобится доказывать свою нужность с удвоенной силой. И тогда совершенно точно можно не ожидать исстребления преступности как класса.

    Они уже умные и заранее работают с ДОСТАТОЧНОЙ эффективностью. Работа как видите у них не кончается и увольнять никого не нужно

     
     
  • 8.81, Michael Shigorin (ok), 15:27, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Работа полицейских в плане противодействия преступности могла бы закончиться, ес... текст свёрнут, показать
     
     
  • 9.84, Аноним (-), 15:49, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В моём районе есть кирпич и водители постоянно под него едут, и полицейские прие... текст свёрнут, показать
     
     
  • 10.89, Michael Shigorin (ok), 17:53, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Выясните, кто занимается выставлением дорожных знаков кажется, в моём аналогичн... текст свёрнут, показать
     
  • 9.85, Аноним (-), 16:28, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Станислав Лем Звездные дневники Ийона Тихого Путешествие двадцать четвертое... текст свёрнут, показать
     
     
  • 10.93, Michael Shigorin (ok), 20:06, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там не люди что до, что после гармонизации PS но всяко спасибо ... текст свёрнут, показать
     
  • 7.98, angra (ok), 23:58, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пыхеры проявляют гораздо бОльшую обучаемость, чем сишники; например, в пыхе частенько случались sql-инъекции. Что сделали пыхеры? Стали  обращаться к бд посредством безопасных query-builder-ов или подставляя значения в шаблон. Уничтожили баги как класс.

    Спасибо, посмеялся. Обучаемость основной массы пыхеров это просто пять с плюсом, особенно с учетом "подставляя значения в шаблон", ведь именно так и получаются sql инъекции. Ты бы хоть про prepared statement почитал, которые есть в пыхе уже с десяток лет, но инъекции никуда не деваются, так как особо одаренные все еще подставляют значения в шаблон.  


    > Конечно можно. Голод не тетка. Эффективность правда будет уже не той. Она
    > будет повыше. Потому что полицейские теперь будут знать, что раз их
    > уже увольняли - в этот раз им понадобится доказывать свою нужность
    > с удвоенной силой.

    Знаешь я тебя даже понимаю, мне ведь тоже приходили подобные "глубокие" мысли лет в десять. Мы не рождаемся с богатым жизненным опытом и пониманием устройства общества, всё приходит со временем. Ничего, повзрослеешь, закончишь школу, начнешь работать и если не дурак и способен учится, то сам потом посмеешься со своей детской наивности.


     
  • 7.111, Аноним (-), 08:47, 29/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > stack overflow

    Может случиться в любой программе на любом языке, от незнания\криворукости\усталости программера. Просто в C++\Java она выкинет эксепшн, только и всего.

     
  • 2.106, Andrey Mitrofanov (?), 14:53, 28/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Фак.
    > Ну сколько можно так косячить...

    В следующих сериях нашего сериальчика Вы также увидите рассказы клоунов нашего секьюрить сыркуса про то, что так было и так будет есть. Также приглашённая звезда развенчает весь сыркус и сделает пару победных кругов по манежу. Следите за анонсами!
    https://outflux.net/slides/2016/lss/kspp.pdf
    http://kernsec.org/files/lss2015/giant-bags-of-mostly-water.pdf

     

  • 1.3, rt (??), 17:49, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Проблема присутствует в выпуске OpenSSL 1.1.0a в коде устранения уязвимости CVE-2016-6307

    Всем разрабам срочно нобелевскую премию за успешные попытки сделать IT мир не очень скучным.

     
  • 1.9, KM (?), 18:47, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В RHEL/CentOS, Fedora и SUSE проблема не проявляется.

    Кто там в соседней теме про "ха-ха" писал? ;)

     
     
  • 2.14, Michael Shigorin (ok), 19:24, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> В RHEL/CentOS, Fedora и SUSE проблема не проявляется.
    > Кто там в соседней теме про "ха-ха" писал? ;)

    Да тут и https://www.opennet.ru/openforum/vsluhforumID3/109194.html#3 спрашивали...

    PS: а двойная ирония ситуации да, великолепна :)

     
     
  • 3.26, KM (?), 22:28, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > PS: а двойная ирония ситуации да, великолепна :)

    Ну а куда без неё? :)

     

  • 1.10, eRIC (ok), 18:50, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Еще один факт, доказывающий что в OpenSSL некомпетентные люди пилят.
    Вообще OpenSSL через разные утилиты прогонят и проверяют через профайлеры?

    Мое предпочтение ИМХО LibreSSL и был бы рад когда FreeBSD перейдет на него по умолчанию как сделали это DragonFlyBSD.

     
     
  • 2.45, Sw00p aka Jerom (?), 01:38, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще один факт, доказывающий что в OpenSSL некомпетентные люди пилят.
    > Вообще OpenSSL через разные утилиты прогонят и проверяют через профайлеры?
    > Мое предпочтение ИМХО LibreSSL и был бы рад когда FreeBSD перейдет на
    > него по умолчанию как сделали это DragonFlyBSD.

    с ситемой то будет поставляться либра, а вот половина софта из портов (пакетов) юзают именно openssl, не отвяжешся так просто.

     
     
  • 3.56, eRIC (ok), 07:01, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > с ситемой то будет поставляться либра, а вот половина софта из портов
    > (пакетов) юзают именно openssl, не отвяжешся так просто.

    согласен, но со временем и софт с портов начнет внедрять поддержку LibreSSL...

     
  • 3.57, бедный буратино (ok), 07:05, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    половина? в OpenBSD я недавно насчитал 6 штук. или 5. причём половина из них - из-за неторопливости маинтайнеров, как мне кажется
     
  • 2.54, kachsheev (ok), 03:25, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Void Linux как раз на либре. :)
     

  • 1.11, YetAnotherOnanym (ok), 18:52, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Шикарная формулировка: "This security update addresses issues that were caused by patches included in our previous security update" - Данное обновление безопасности исправляет проблемы, вызванные патчами, включёнными в наше предыдущее обновление безопасности.
     
  • 1.13, ALex_hha (ok), 19:06, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Данное обновление безопасности исправляет проблемы, вызванные патчами, включёнными в наше предыдущее обновление безопасности.

    ну классика - "В релизе X было исправленно Y ошибок". Просто о том, сколько при этом было внесено новых обычно умалчивают ;)

     
  • 1.20, Аноним (-), 21:26, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Нужен еще один аудит, а потом заставить всех опеннетчиков читать код (или делать вид). Так победим.
     
     
  • 2.25, KonstantinB (ok), 21:48, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аноним - не читатель, аноним - писатель. :-)
     
     
  • 3.62, Andrey Mitrofanov (?), 10:39, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Аноним - не читатель, аноним - писатель. :-)

    Пусть эти, как их... зарегистрированные читют.

     

  • 1.29, Аноним (-), 23:31, 26/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Буратино тоже использует OpenSSL?
     
     
  • 2.30, Аноним (-), 23:43, 26/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Буратино тоже использует OpenSSL?

    Интересно, с чего вдруг такое предположение, если ББ сидит на OpenBSD, где LibreSSL по определению в базе?

     
     
  • 3.42, бедный буратино (ok), 01:22, 27/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    уже выпустили, за примерное поведение

    сва-бо-ду бу-ра-ти-нам!

     

  • 1.58, Аноним (-), 08:19, 27/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Снова, опять.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру