The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления

25.05.2019 12:12

Обновление OpenSSL до версии 1.1.1b в репозитории openSUSE Tumbleweed привело к нарушению работоспособности некоторых приложений, связанных с libopenssl и использующих русскую или украинскую локали. Проблема появилась после внесения в OpenSSL изменения в обработчик буфера сообщений об ошибках (SYS_str_reasons). Буфер был определён в 4 килобайта, но этого оказалось недостаточно для некоторых юникод-локалей.

Вывод strerror_r, используемый для заполнения буфера, для русской локали составляет 6856 байт, а для украинской - 7000. В коде OpenSSL изначально была проверка на переполнение, но она при обрезании хвоста учитывала размер на один байт больше фактического значения, что приводило к однобайтовому переполнению и краху при загрузке слишком длинных расшифровок кодов ошибок.

В настоящее время уже подготовлено исправление, но оно ещё не принято. Чтобы откатиться до предыдущей стабильной версии (OpenSSL 1.1.0h) можно выполнить команды:

  
   sudo zypper in tumbleweed-cli
   sudo tumbleweed init
   sudo tumbleweed switch 20190514
   sudo zypper ref && sudo zypper dup && sudo zypper inr


  1. Главная ссылка к новости (https://github.com/openssl/ope...)
  2. OpenNews: Релиз дистрибутива openSUSE Leap 15.1
  3. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
  4. OpenNews: Разработчики jQuery по ошибке безвозвратно удалили содержимое каталога плагинов
  5. OpenNews: Ошибка в Steam для Linux может привести к удалению всех данных пользователя
  6. OpenNews: В скрипте инициализации RHEL допущена ошибка, приводящая к удалению всех файлов
Автор новости: Voka
Тип: К сведению
Ключевые слова: opensuse, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Зщз (?), 17:26, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    format c:
     
     
  • 2.15, AntonAlekseevich (ok), 18:29, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > format c:

    Не туда выбросили. :D
    [code]mkfs.ext4 'cat /proc/mounts | grep " / " | awk '{ print $1 }''[/code]

     
     
  • 3.17, бублички (?), 19:09, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    mkfs.ext4 'awk '/ \/ / {print $1}' /proc/mounts'

    открой для себя удивительные возможнсти awk

     
     
  • 4.28, burik666 (ok), 21:45, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    mkfs.ext4 /dev/root
     
     
  • 5.45, VINRARUS (ok), 10:29, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А чо, dd if=/dev/urandom of=/dev/sda уже не модно?
     
     
  • 6.50, Annoynymous (ok), 11:24, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пользователи NVMe смотрят на тебя как на немодного.
     
  • 4.35, AntonAlekseevich (ok), 00:57, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > mkfs.ext4 'awk '/ \/ / {print $1}' /proc/mounts'
    > открой для себя удивительные возможнсти awk

    Вот за этот комментарий я готов сказать огромное спасибо.

     
     
  • 5.43, Stax (ok), 07:33, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Толку-то?? Пример все равно не рабочий. Ключик -f забыт.
     
     
  • 6.52, Аноним (52), 13:50, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там ещё и прямые апострофы вместо обратных.
     
     
  • 7.66, AntonAlekseevich (ok), 16:45, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Там ещё и прямые апострофы вместо обратных.

    Откройте "вслухборд" и увидите обратные.

     
  • 6.61, AntonAlekseevich (ok), 01:48, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Толку-то?? Пример все равно не рабочий. Ключик -f забыт.

    И в изначальном примере его нет. Так что увы.

     

  • 1.3, Аноним (3), 17:29, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    > русскую или украинскую локали

    Т.е. они, в принципе, одно и то же?

     
     
  • 2.20, Crazy Alex (ok), 19:42, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В смысле? Сообщения разные, на разных языках. Я так понимаю, на других языках текст выходит покороче, и эта штука не выстреливает
     
  • 2.47, VINRARUS (ok), 10:32, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > > русскую или украинскую локали
    > Т.е. они, в принципе, одно и то же?

    Читай внимательно: "для русской локали составляет 6856 байт, а для украинской - 7000"

     

  • 1.4, Аноним (52), 17:31, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > привело к нарушению работоспособности всех приложений, связанных с OpenSSL
    > Чтобы откатиться до предыдущей стабильной версии можно выполнить команды:
    >
    > sudo zypper...

    Позвольте, но ведь zypper связан с openssl.

     
     
  • 2.18, Аноним (18), 19:10, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    LC_ALL=C sudo zypper...
     
     
  • 3.19, пох (?), 19:27, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а там "Defaults env_reset" ;-)

     
     
  • 4.55, Аноним (18), 14:39, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы это было так, что все бы работало и без выставления локали, т.к. по дефолту там у рута английская локаль, независимо от системной.
     

  • 1.5, Аноне (?), 17:34, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Тут ребята килобайты экономят, а кто-то браузер в блокнот пихает.
     
     
  • 2.7, Аноним (7), 17:41, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и как? Сэкономили?

    > Ошибка в OpenSSL сломала openSUSE Tumbleweed после обновления

    Неплохо так сэкономили. Пофиг, что не работает, главное сэкономили память.

     
     
  • 3.21, Crazy Alex (ok), 19:43, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь прочти новость ещё раз и осознай, что проблема - в некорректной обработке слишком длинного содержимого буфера
     
  • 3.25, Аноне (?), 20:41, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я стал понимать, что весь хейтинг идёт в основном от тех, кто сам не участвовал проектах посерьезнее приветмира, ибо не знает, что даже отлить иногда не получается, не капнув на ботинок, из ошибки можно извлечь пользу и опыт, но далее будет другой новый опыт, и всё равно люди будут косячить. Ибо ошибка - это часть развития и наполнения опытом хоть искусственного интеллекта, хоть разумного существа. В данном случае тестеров русских не нашли - это уже другой вопрос, ну или автотесты там какие-нить недописали.
     
     
  • 4.30, пох (?), 22:35, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вы патч посмотрите, посмотрите на досуге.
    Если вы на самом деле участвовали в проектах посерьезнее - вы сами все поймете.

    Дело не в "русских не нашли" и не "автотесты не дописали".

     

  • 1.6, Аноним (6), 17:41, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Позорище.
     
  • 1.8, Аноним (8), 17:53, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Англоцентричное программирование ¯\_(ツ)_/¯
     
     
  • 2.14, пох (?), 18:23, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    было б англоцентричное - все б работало.
    Но не насовать в системную библиотеку, из которой наружу в обход приложения в идеале вообще ничего текстового не должно торчать, локализованного мусора, избавляющего манки-кодера от необходимости применять голову, было никак нельзя.

     
  • 2.22, vantoo (ok), 20:22, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Представителей "золотого миллиарда" не волнуют проблемы стран "третьего мира".
    /sarcasm
     
     
  • 3.33, Аноним (33), 23:10, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вообще-то россияне и даже украинцы входят в упомянутый "золотой миллиард".
     
     
  • 4.68, twilight (ok), 08:58, 28/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не входят и никогда не входили.
     
  • 2.24, Аноним (24), 20:28, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Англоцентричное
    > OpenSUSE
    > Germany

    ок.

     
     
  • 3.48, VINRARUS (ok), 10:34, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Англоцентричное
    >> OpenSUSE
    >> Germany
    > ок.

    Месть дедов...

     
     
  • 4.63, Аноним (63), 10:47, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Месть дедов...

    Скорее похоже на месть "внукам", поскольку у "Germany"-пользователей все в порядке, а вот у "внуков" - крашится...

     

  • 1.10, Аноним (10), 17:57, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    АК это поэтому у меня после апдейта ни фига не запускается и крашится? Прикольно.
     
  • 1.12, Лапчатый девляпс бубунтёнак (?), 18:15, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Опенссл постоянно ломается. Плывут апи в самых минорных релизах. Порой удобнее собрать старую версию, и статически с приложением(дададад, знаю что несесюрно). Сборочница нестандартная.
    Для QT4 и Kdelibs 4, например, от которых зависит некоторый старый, но нужный софт, оказалось проще собрать статически с древней сверхуязвимой версией опенссля.
     
     
  • 2.16, пох (?), 18:37, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    минорные версии были во времена 0.8.чтототам, в крайнем случае - 1.0.0буква. Вот буква - это была минорная версия. И то в те годы было не принято тащить эти новые буквы в стабильные дистрибутивы, бэкпортили патчи.

    А thumbleweed - роллинг, его владельцы любят страдание, не вижу в этом никакой проблемы.

    В 2005м году эта новость звучала бы так: "у пересобиральщика пре-альфа-версии opensuse6 в очередной раз не прокатил апгрейд openssl. Он сожрал пиццу, запил колой, дважды рыгнул и теперь спит, переваривая - как проснется, попробует починить."

     
     
  • 3.39, Лапчатый девляпс бубунтёнак (?), 07:22, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я давно заметил, что там версионирование - далеко не семантическое. Вот только, даже та самая буква тоже однажды всё сломала. Это опенссл.
     
  • 3.40, Аноним (40), 07:24, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В 2010-2011 еще было так. Эх, золотые были времена.
     
     
  • 4.41, Аноним (40), 07:27, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Upd. Это я о тумбе. Все было просто и понятно: вот стабильный релиз, вот преальфа для мазохистов.
     

  • 1.26, Аноним (26), 20:49, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня такая же нога и все ок! Сижу себе на генте с размасканым 1.1.1b, все ок ... :-Р
     
     
  • 2.27, Аноним (27), 21:21, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Слезь с генты, ей и так не очень хорошо
     
     
  • 3.57, Perl_Jam (?), 15:16, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Врун
     
  • 2.62, Аноним (62), 02:56, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Гентушники не бэкпортировали патч, который вызвал эту регрессию в сусе.
     

  • 1.29, Дегенератор (ok), 21:53, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > По моему лучшый дистрибутив для "поставил, настроил, забыл"
     
     
  • 2.32, Аноним (32), 22:53, 25/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты действительно дегенератор. Почитай, чем Tumbleweed отличается от обычного релиза.
     
  • 2.49, VINRARUS (ok), 10:37, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> По моему лучшый дистрибутив для "поставил, настроил, забыл"

    Буфер почисть, а то опять переполнился очевидно.
    По этому я и ставлю Leap, а Tumbleweed не признаю.

     
     
  • 3.51, Дегенератор (ok), 12:05, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> По моему лучшый дистрибутив для "поставил, настроил, забыл"
    > Буфер почисть, а то опять переполнился очевидно.
    > По этому я и ставлю Leap, а Tumbleweed не признаю.

    А шо такое буфер?

     

  • 1.31, анчоус (?), 22:36, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А, так вот что это было - я гружусь и у меня крашатся akonadi, kdekonnectd и чего то еще. Я то думал в кедах что то сломали, откатился на прошлый снапшот и уже почти неделю воздерживаюсь от обновлений. А ща глянул в сводку установки - реально openssl 1.1.0h-1.2 -> 1.1.1b-1.1
     
  • 1.34, AlexYeCu_not_logged (?), 23:39, 25/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Fedora 30, если я правильно понимаю,  точно такое же обновление привело к неработоспособности Sylpheed.
     
  • 1.36, Ilya Indigo (ok), 02:03, 26/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >   sudo zypper in tumbleweed-cli
    >   sudo tumbleweed init
    >   sudo tumbleweed switch 20190514
    >   sudo zypper ref && sudo zypper dup && sudo zypper inr

    У меня это не работает, наверно потому-что у меня ext4.
    Есть более простой и надёжный способ, подключить проект security:tls и обновиться .
    sudo zypper ar -cf https://download.opensuse.org/repositories/security:tls/openSUSE_Tumbleweed OpenSSL && sudo zypper dup

    А после принятия в Tumbleweed - удалить проект security:tls и обновится.
    sudo zypper rr OpenSSL && sudo zypper dup

    По традиции, не понятно зачем, в Staging openssl-1_1 поместили в одну группу (C) с пихоном, с которым, по традиции и ожиданию, проблемы с зависящими от них пакетами, так что скорого принятия можно не ожидать.
    https://build.opensuse.org/project/staging_projects/openSUSE:Factory

    P.S. https://build.opensuse.org/project/show/openSUSE:Factory:Staging:C
    О, что я вижу!
    [code]
    dimstar_suse wrote about 12 hours ago

    Requests: 0 added, 3 removed; using unselect command

        removed request#700047 for package python-urllib3 submitted by mcepl
        removed request#700429 for package python submitted by mcepl
        removed request#704730 for package python3 submitted by scarabeus_iv

    [/code]

    Не ужели здравый смысл восторжествовал и из этой группы удалили пихон!
    Тогда шанс на то, что его примут в Tumbleweed в этом месяце возрастает.

     
     
  • 2.67, Аноним (10), 18:55, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему-то dup но чего не нашёл, хотя явно видна более новая по циферкам версия. Но поменял вручную поставщика и всё заработало. Спасибо, однако.
     
     
  • 3.69, Ilya Indigo (ok), 09:41, 28/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему-то dup но чего не нашёл, хотя явно видна более новая по циферкам версия.

    Это потому что, не понятно зачем, изменили в /etc/zypp/zypp.conf
    solver.dupAllowVendorChange = false
    Её нужно вернуть по умолчанию в
    # solver.dupAllowVendorChange = true
    А также не помешает и
    solver.allowVendorChange = true

     

  • 1.42, iCat (ok), 07:30, 26/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то многовато посыпалось нелепых ошибок...
     
  • 1.53, G0Dzilla (ok), 14:20, 26/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, святой Тюринг! Кто же придумал синтаксис zypper??? Как этим можно пользоваться?
     
     
  • 2.56, DiabloPC (ok), 15:04, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Шо плохого в синтаксисе зиппера?
    ИМХО, он самый вменяемый со всех популярных пакетных манагеров
     
     
  • 3.58, Аноним (58), 16:29, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Шо плохого в синтаксисе зиппера?
    >ИМХО, он самый вменяемый со всех популярных пакетных манагеров

    Кстати да, я как в прошлом пользователь одного только apt, подтверждаю, zypper имеет вполне себе человеческий логичный синтаксис, ничего криминального по приезду на opensuse не замечено в пакетном менеджере, а если кто-то удивляется с возможности записывать команды в сокращённом виде, in вместо install, например, так это распространённая практика во многих консольных программах.
    По мне так синтаксис состоящий почти сплошь из одних, только разного рода, слэшей и скобочек, вот это хреновый синтаксис, а кому-то норм.

     
  • 2.59, Аноним (59), 17:07, 26/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нормально можно пользоваться. А еще zypper перед установкой пакета выводит перечень всех других, которые должны быть поставлены за компанию, и по-человечески спрашивает, начинать ли установку. А не как apt, который после install радостно наворачивает ложкой все подряд.

    Может, в apt сейчас что-то поменялось, но когда в последний раз заглядывал в Mint, все так и было.

     
     
  • 3.65, Анонимус2 (?), 11:14, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    15 лет пользуюсь apt - никогда в нем такого не было
     
  • 3.70, пох. (?), 10:43, 28/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормально можно пользоваться. А еще zypper перед установкой пакета выводит перечень всех
    > других, которые должны быть поставлены за компанию, и по-человечески спрашивает, начинать

    самое главное - что он это делает - _консистентно_. Спрашивает, если не оверрайдить конфигом, всегда. Если оверрайдить - то не спрашивает.

    А у apt "угадайте что мы будем делать сегодня". Если у пакета нет зависимостей или они все перечислены вручную - поставит молча. Если есть - зависнет с вопросом, что не очень удобно, когда ты подвоха не ожидал.

    ну и хуже apt search придумать что-либо трудно, у zypper с поиском все в порядке - нужны совпадения по именам, ищет имя, нужно абы что похожее - будет искать по описаниям, нужно найти того, кто provides фичу или библиотеку - и так тоже умеет. case/installed/not installed - пожалуйста.

    Ну так это ж еще немец делал, для себя, а не на от..сь.

    > Может, в apt сейчас что-то поменялось, но когда в последний раз заглядывал
    > в Mint, все так и было.

    просто либо тебе повезло угадать все буквы, либо там вручную конфигом оверрайдили - причем пооверрайдить можно только в одну сторону - Assume-Yes есть, а никакого "ask-always" не предусмотрено.

     
  • 2.64, Ilya Indigo (ok), 10:51, 27/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Просто легко и интуитивно, не то что пакман!
     

  • 1.71, Ilya Indigo (ok), 14:19, 28/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ё-маё, в openSUSE ещё нашли баг https://bugzilla.opensuse.org/show_bug.cgi?id=1136522
    В Debian/Ubuntu/Mint и RH/CentOS/Fedora вообще openSSL не используют что ли?
    Там она почти год уже, а в openSUSE неделю назад появилась и уже 2 серьёзных бага нашли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру