URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137978
[ Назад ]
Исходное сообщение
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера"
Отправлено opennews , 02-Окт-25 10:45 
Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS и различных алгоритмов шифрования.  OpenSSL 3.6 отнесён к выпускам с обычным сроком поддержки (LTS), обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.5 LTS, 3.4, 3.3, 3.2  и 3.0 LTS продлится до  апреля 2030 года, октября 2026 года, апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63979

Содержание
Сообщения в этом обсуждении
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 10:52 
> Уязвимость может привести к записи и чтению данных вне выделенного буфера
> уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера

Странно. Местные эксперты говорили, что если обложить все статическими анализаторами и валгриндами, то на C и C++ можно писать абсолютно безопасный по памяти код. 🤔 Что-то пошло не так?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 12:34 
Никто не обкладывал.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 17:48 
> Никто не обкладывал

Неужели опять те самые "ненастоящие сишники"?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено 12yoexpert , 02-Окт-25 14:08 
а что, нельзя? раскрой мысль, очень интересно
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 18:26 
> а что, нельзя?

Можно конечно! Он вроде и не спорил. Не будут же опернетные эксперты врать.

Но вопрос "что же пошло не так" остается открытым. Видимо, OpenSSL пишут какие-то бракоделы, которые не обложили бы санитайзерами.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 15:00 
> Что-то пошло не так?

То просто проггер не о чем попался. Вот настоящий сишник никогда не допустил этого.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 15:05 
Настоящий сишник что сферический конь, бывает только в вакууме
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 15:09 
Никто и не обкладывал.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:23 
Заголовок из разряда кликбейт. Формально то оно так, но ничего вроде бы опасного для широких масс населения.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:30 
kek_unwrap_key(): Fix incorrect check of unwrapped key size
- if (inlen < (size_t)(tmp[0] - 4)) {
+ if (inlen < 4 + (size_t)tmp[0]) {

Прям топ-кек))
ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера! Никогда такого не было и вот опять))

А ведь openssl обмазана санитайзерами по самое немогу.
И что? Помогли вам эти санитайзеры?))

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 11:50 
Ты же не думаешь, что это случайно.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 13:54 
> Ты же не думаешь, что это случайно.

Неужто вы намекаете, что все эти "случайные" ошибки настоящих сишников™ совсем не случайны???
Но ведь они появляются практически в каждом проекте больше хеллоуволда!
Это ж как так, вообще всех скупили, вообще все продались. Как страшна жЫть...

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 14:08 
Тут вопрос скорее в другом.
У опенССЛьки есть спонсоры [1]
Среди которых довольно сурьезные компании платящие немаленькие деньги (It requires a commitment of $100,000 or more, which may be payable over multiple years. [2])

Им вообще норм, что бракоделы овнячат бекдоры?
Или они просто "в доле")

[1] openssl-foundation.org/about/sponsors/
[2] openssl-foundation.org/donate/premier/

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 16:17 
Все понимают, в чьих интересах. Возможности отказаться у них нет.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 16:47 
Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.
но пользоваться ей большинство не хотят...
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 16:51 
> Зато есть LibreSSL, от группки известных паранойиков из OpenBSD.

А толку?
"Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD."
Дыры те же.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 19:02 
> Ты же не думаешь, что это случайно.

Нет, конечно, это не случайность. Это вполне закономерные последствия использования недоязыка из 70х.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 19:21 
У тебя просто комплексы. А какие языки защищают от логических ошибок?
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 19:28 
> У тебя просто комплексы. А какие языки защищают от логических ошибок?

Где ты увидел логическую ошибку?
Тут проблема что сишка *вообще* позволяет писать мимо буфера, а не в том что не правильно посчитали размер. Нормальный язык бы кинул эксепшн, ошибку или панику, а не выполнил бы произвольный код.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 19:40 
А разве не логическая? Ну, бесплатно это не решить программно. Вот, российские процессоры ель-брюс решают аппаратно, и код никак не мешает. Только, vliw немного расходится с общепринятым risc. Итаниум не даст соврать.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 13:12 
Сама по себе эта конструкция уже хороша:

(size_t)(tmp[0] - 4))

Но это в той части, которой никто не пользуется и компиляцию которой вырубают.

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 23:46 
Почему вообще арифметика указателей и операций с size_t с применением числовых констант не запрещена статическими анализаторами? Им мало примера Adobe Flash, который на 64-битную архитектуру портировать не смогли? Сегодня там int32, а завтра int64 или вообще структура неопределённого размера. И такие изменения фиг отследишь поскольку константа это просто число и никакой тревоги компилятора она не вызовет.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 16:59 
> ЛуДшие погромисты опять не смогли правильно посчитать разрамер буфера!

это как раз те которые говорят, что им математика не нужна!

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 12:01 
>  в реализации встроенного HTTP-клиента

зачем HTTP клиент-то встраивать?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено oauth отстой , 02-Окт-25 13:11 
может для oauth какого-нибудь. это yблюдство сейчас много куда пихают.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено OpenEcho , 02-Окт-25 13:54 
Official:
> It's intended for testing purposes only

Ну и например,
- в кроне проверять сертификаты на удаленных сервисах
- проверять поддержку протоколов

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 17:00 
так он ведь для тестов, а не продакшена.
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено OpenEcho , 02-Окт-25 13:48 
> Состоялся релиз библиотеки OpenSSL 3.6.0, предлагающей с реализацию протоколов SSL/TLS

Давно уже пора переименовать в OpenTLS, т.к. от SSL поддержки там давно уже ничего не осталось

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 02-Окт-25 16:55 
> В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные.

чтобы легче искать в памяти?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Анонимусс , 02-Окт-25 16:56 
> требуется компилятор, совместимый со стандартом C-99

Получается что они прям застряли в 90х
Все те улучшения, которые попали в сишку хотя бы с с11, так и будут недоступны.

Ради чего они продолжают хвататься за этот копролит?
Даже ядро переехало на более новую версию языка!

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Oldi , 02-Окт-25 17:08 
Расчет ядра так себе аргумент
"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Анонимусс , 02-Окт-25 17:28 
> Расчет ядра так себе аргумент

Почему?
Ядро сложнее чем эта либа.
Ядро работает на куче платформ, в том числе некроплатформ.
Почему они должны использоваться именно с99?

"Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением пер..."
Отправлено Аноним , 03-Окт-25 00:43 
> Ради чего они продолжают хвататься за этот копролит?

Действующие системы. В которых нет компиляторов с новым стандартом.