1.2, Аноним (2), 10:52, 02/10/2025
> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера
Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?
1.3, Аноним (3), 11:23, 02/10/2025
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
1.5, Аноним (-), 11:30, 02/10/2025
kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {
Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))
А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))
3.16, Аноним (16), 13:54, 02/10/2025
> Ты же не думаешь, что это случайно.
Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...
3.21, Аноним (-), 14:08, 02/10/2025
Тут вопрос скорее в другом.
У опенССЛьки есть спонсоры [1]
Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2])
Им вообще норм, что бракоделы овнячат бекдоры?
Или они просто "в доле")
[1] openssl-foundation.org/about/sponsors/
[2] openssl-foundation.org/donate/premier/
2.14, Аноним (14), 13:12, 02/10/2025
Сама по себе эта конструкция уже хороша:
(size_t)(tmp[0] - 4))
Но это в той части, которой никто не пользуется и компиляцию которой вырубают.
1.10, Аноним (10), 12:01, 02/10/2025
> в реализации встроенного HTTP-клиента
зачем HTTP клиент-то встраивать?
2.17, OpenEcho (?), 13:54, 02/10/2025
Official:
> It's intended for testing purposes only
Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов
1.15, OpenEcho (?), 13:48, 02/10/2025
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS
Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось
