forum.opennet.ru

"Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	+/–
Сообщение от n00by (ok), 03-Ноя-22, 09:29
>> Не понятно, зачем там вообще >. Достаточно было бы ==. > Ты про defensive programming слышал? Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords и обсуждать сферических коней в ваккуме. И видел вот прям сейчас, что на практике > привел к ошибке, которой бы не было при указанном мной подходе. И висела эта ошибка джва года. > Сейчас там может и достаточно было бы > ==, а завтра придёт следующий, и за итерацию сделает ++ дважды, > а проверку забудет поправить. Поэтому >=. Очевидно из кода, что не сделает. > Итератор и int -- это разные вещи, и обращаться с ними надо по-разному. Если я написал про отсуствие operator>(), наверное, я немного понимаю, что такое итератор. А если не понятно, что итератор приучает машинально писать везде ++i вместо i++, а в сложных случаях, когда это действительно надо, приходится задумываться и избегать вот таких ошибок, так пишите про это прямо.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 , opennews, 01-Ноя-22, 20:00 [смотреть все]

Опять ненастоящие Сишники, да что ж такое , Аноним, 01-Ноя-22, 20:00 (1) //
- Это, конечно, не вебмакаки Вебмакакам до такого уровня ещё деградировать и дегр, Аноним, 01-Ноя-22, 20:02 (4) //
  - Ubuntu packages are built with stack protector, reducing theimpact of this CVE f, Аноним, 02-Ноя-22, 02:19 (53) //
    - Сишники настолько умные, относительно растоманов, что зачастую брезгуют любыми п, ВлезВТопик, 02-Ноя-22, 07:38 (70)
      - Смени топик на майку , Аноним, 02-Ноя-22, 13:58 (116)
        
        Лучше на зайку, Аноним, 03-Ноя-22, 14:55 (147)
- Что-то последнее время часто появляются уязвимости в НОВОМ коде, а в старых ве, Аноним, 01-Ноя-22, 20:16 (9) //
  - Деградация, жертвы питона освоили C , Аноним, 01-Ноя-22, 20:40 (18)
  - у дидов обычно уязвимости на уровне спецификации протокола, Аноним, 01-Ноя-22, 20:42 (20) //
    - то не уязвимость, а закладка от АНБ была , Аноним, 01-Ноя-22, 21:08 (31)
  - Heartbleed такой - ну да, ну да , another_one, 01-Ноя-22, 20:49 (25) //
    - Кстати, его всегда можно было отключать, или это потом уже придумали Там вообще, Аноним, 01-Ноя-22, 23:08 (44)
  - MS овская многоходовка , Аноним, 02-Ноя-22, 05:23 (59) //
    - Как только Лёня всплыл в проруби микрософта - уже ничему не удивляешься , Аноним, 02-Ноя-22, 09:54 (89)
- Не веб-макаки говоришь Ты фиксы смотрел Это хуже чем любой вебмакакинг - if, Аноним, 01-Ноя-22, 20:41 (19) //
  - растаманы бы написали if written_out max_out , Аноним, 01-Ноя-22, 21:10 (32) //
    - Что бы сделали растаманы - твои маняфантазии А что сделали сишники - мы все уже , Аноним, 02-Ноя-22, 13:30 (107)
      - Но и кода ты растик не показал, microsoft, 02-Ноя-22, 22:00 (140)
  - И что здесь такого Чел забыл, что чек происходит уже после того, как данные пиш, Аноним, 02-Ноя-22, 06:36 (61) //
    - Точно известно А через неделю не забудешь Через месяц А коллегам не забудешь , Аноним, 02-Ноя-22, 06:57 (63)
    - Если ограничиться фрагментом из патча и не вникать в остальной код, то written_o, n00by, 02-Ноя-22, 09:33 (82)
      - Ты про defensive programming слышал Опыт программирования, особенно на языках т, Аноним, 02-Ноя-22, 17:10 (126)
        
        ты на ник его посмотри и не задавай глупых вопросов, Аноним, 03-Ноя-22, 04:08 (141)
        
        Работает ведь Особенно зачётно, когда персонаж без имени такое пишет , n00by, 03-Ноя-22, 09:47 (145)
        
        Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords , n00by, 03-Ноя-22, 09:29 (144)
  - Ошибиться на 1 символ это самая частая ошибка, у людей нервная система так работ, Аноним, 02-Ноя-22, 06:53 (62)
- Что-то всё чаще и чаще мелькает бубнеж этой мантры Не надоело , Аноним, 01-Ноя-22, 21:13 (35) //
  - Смотрите комментарий над проблемной функцией code - Pseudocode functio, n00by, 02-Ноя-22, 09:47 (87)
- npm audit fixhttps vuldb com recent 202211, Без аргументов, 01-Ноя-22, 22:49 (41) //
  - https vuldb com recent 202210, Без аргументов, 01-Ноя-22, 22:50 (42)
  - Но вы же не веб-макака и знаете что такое шина адреса она вообще есть у совреме, Аноним, 02-Ноя-22, 10:06 (90) //
    - Я просто возьму Qt WxWidgets, Pure JS как макаки называют отдельную технологию, Без аргументов, 02-Ноя-22, 13:46 (108)
      - не Pure, Vanilla JS точнее каких только не развели, Без аргументов, 02-Ноя-22, 13:55 (113)
    - Java Spring, наконец Это касательно с фронтендом, кроме Go , Без аргументов, 02-Ноя-22, 13:47 (109)
      - Я правильно понимаю вы пишете одновременно на 1 go2 qt c 3 WxWidgets c 4 j, Аноним, 02-Ноя-22, 16:28 (123)
        
        Женщина-программист Чего только не выдумывают на опеннете , Аноним, 02-Ноя-22, 16:42 (124)
        
        У меня была сеньёрша по шарпам Реально Просто место работы надо менять, и выби, Без аргументов, 02-Ноя-22, 18:55 (136)
        
        Если это не просто перечисление всех известных вам названий технологий, Аноним, 02-Ноя-22, 17:48 (129)
        
        На Java меньше всего, даже забыл 9 лет назад Я просто знаю, что жили нормально, Без аргументов, 02-Ноя-22, 19:05 (139)
        
        Мне 32 За компом с 9 игрушки мои компы не тянули На всём этом приходилось Н, Без аргументов, 02-Ноя-22, 18:50 (132)
        
        Как здорово что на опеннет есть настоящие программисты способные писать сразу на, Аноним, 03-Ноя-22, 06:14 (142)
        
        Про схемотехнику, органицию ЭВМ, ПЛИС, ассемблер -- я это всё универ с магистрат, Без аргументов, 02-Ноя-22, 18:52 (134)
        Не кикбрейнс же проходил И да, PL SQL Oracle я тоже очень хорошо знал 3 года наз, Без аргументов, 02-Ноя-22, 18:53 (135)
        вот с JS я не осилил, признаюсь т к фрейморки это уже каждый из них космос, ко, Без аргументов, 02-Ноя-22, 18:58 (137)
        Еще сайт делал полностью под ключ на PHP JQuery 5 лет пашет, никакого вебмака, Без аргументов, 02-Ноя-22, 18:59 (138)
    - Память у вас хорошая Касательно эмбеда верно Си на бэке Cortex M или Go Cor, Без аргументов, 02-Ноя-22, 13:51 (110)
      - кто делает сервер на cortex m, тот конечно тоже не совсем адекват, Без аргументов, 02-Ноя-22, 13:56 (114)
    - Про Раст не скажу, пока наблюдаю, Без аргументов, 02-Ноя-22, 13:51 (111)
    - это всё нужно для SPA-PWA и прочий клей момент с жирным клиентом , Без аргументов, 02-Ноя-22, 13:53 (112)
      - и кстати удачи в SEO со своими SPA, Без аргументов, 02-Ноя-22, 13:57 (115)
- Опять где же настоящие растоманщики , истина в последней инстанции, 03-Ноя-22, 20:40 (152)
OpenSSL, который мы заслужили , Аноним, 01-Ноя-22, 20:01 (2) //
- Ну так для этого и ответвились - всё говно, которое Google не счёл экономически , Аноним, 01-Ноя-22, 20:05 (5) //
  - У неё нет пользователей , Аноним, 01-Ноя-22, 23:09 (45)
  - Причём тут GnuTLS Они с OpenSSL ни разу не родственники , Аноним, 02-Ноя-22, 08:42 (74) //
    - Часть софта при сборке из портов FreeBSD даёт выбор использовать GnuTLS или Open, iZEN, 02-Ноя-22, 09:15 (80)
      - А из исходников, в большинстве случаев, ты можешь использовать что угодно, что L, bOOster, 02-Ноя-22, 10:54 (100)
        
        В большинстве случаев нет, в софте должна быть явная поддержка в коде Я делал т, Аноним, 02-Ноя-22, 13:14 (105)
А может 1 никто не проверяет просто Ведь не new shiny shit, прошлый век, непро, Аноним, 01-Ноя-22, 20:02 (3) //
- Скорее всего проверяют, ветка 1 х на приватной поддержке вроде , Аноним, 02-Ноя-22, 05:25 (60)
https github com mesalock-linux mesalink - OpenSSL compatibility layer for the, Аноним, 01-Ноя-22, 20:07 (6)
Как же достали эти уязвимости Пора переходить на RusTLS , DEF, 01-Ноя-22, 20:12 (7) //
- Russian TLS , Аноним, 01-Ноя-22, 20:49 (24)
- Этого никогда не случиться Потому что вы его никогда не допишете , истина в последней инстанции, 03-Ноя-22, 20:42 (153)
А разве Rust защищает от переполнения буффера числа , Аноним, 01-Ноя-22, 20:13 (8) //
- Один из багов в FF показал, что в расте надо так же ручками проверять вхождение , Аноним, 01-Ноя-22, 20:24 (12) //
  - Пруфы в студию , Аноним, 01-Ноя-22, 20:42 (21) //
    - см багтрекер Мозилы, Аноним, 01-Ноя-22, 21:11 (33)
      - Хаха, что и требовалось ожидать Ты только языком трепаться можешь , Аноним, 01-Ноя-22, 21:15 (36)
        
        Не осиливаешь в поиск Как ты вообще русский язык в прошлом году в 8-ом классе с, Аноним, 02-Ноя-22, 09:00 (78)
  - А что происходит когда в расте ты таки обращаешься с массиву по неверному индекс, Анонн, 01-Ноя-22, 20:47 (23) //
    - в конкретно том случае всё делалось руками, в т ч кидание паники неуместное, е, Аноним, 01-Ноя-22, 21:12 (34)
    - Число просто переполняется и становится отрицательным больше ничего интересного , Аноним, 02-Ноя-22, 09:00 (79)
      - интересное происходит ПОТОМ, когда оно используется в вычислении смещений , Аноним, 02-Ноя-22, 09:50 (88)
    - Смотря как обращаешься Если вызываешь code get i code то этот метод возвра, freecoder, 03-Ноя-22, 23:27 (154)
  - Один из ветров показал, что они дуют, потому что деревья качаются https git op, Аноним, 01-Ноя-22, 23:41 (47)
- Это одна из основных фитч, так-то , Rev, 01-Ноя-22, 20:32 (14) //
  - читай выше , Аноним, 01-Ноя-22, 20:35 (16) //
    - Ты же ссылку не привел, что читать Твои больные фантазии , Аноним, 02-Ноя-22, 07:02 (64)
  - Что-то не работают основные фичи Тогда спрашивается чем debug mode от динамич, Аноним, 01-Ноя-22, 20:50 (26) //
    - Работают если знаешь как ошибка будет логическая, а не порча памяти , Анонн, 01-Ноя-22, 20:53 (27)
- А почему ты объединяешь эти проблемы Переполнение числа и переполнение буфера а, Аноним, 01-Ноя-22, 22:28 (40)
от него кровопролитиев ждали, а он чижика съел Ну и хорошо что так, зря тольк, anonymous, 01-Ноя-22, 20:19 (10) //
- Салтыков-Щедрин, Медведь на воеводстве , ryoken, 02-Ноя-22, 08:00 (71)
Хочешь не хочешь, а уже начинаешь верить в теории заговора, почему этот кусок кр, Самый умный из вас, 01-Ноя-22, 20:20 (11) //
- Дорого плюс конеретно этот кусок используют все подряд, в нем уже залатали вс, Аноним, 02-Ноя-22, 02:24 (55)
- Иксы уже переписали теперь имеется куча багов в новом модном wayland решен, Аноним, 02-Ноя-22, 02:26 (56)
Пустозвимость, из-за которой задержали выпуск новой Федоры , Аноним, 01-Ноя-22, 20:25 (13) //
- RawHide в помощь, и ваша Федора всегда будет настолько новой, что прям дальше не, ryoken, 02-Ноя-22, 08:01 (72)
ну наконец-то libressl может похвастаться что хотя бы этой проблемы у них нет п, Аноним, 01-Ноя-22, 20:37 (17) //
- Вообще-то немало выявленных в OpenSSL уязвимостей не проявляются в LibreSSL Обр, Аноним, 02-Ноя-22, 08:46 (75) //
  - И это нам показывает реальное положение дел, что вообще много всяких помоев в Li, bOOster, 02-Ноя-22, 08:58 (77)
Ахаха, впрочем ничего нового Фикс с vs просто шикарен И это в штуке, н, Аноним, 01-Ноя-22, 20:44 (22)
Дали сишнику два буфера за один он вышел, а второму use-after-free сделал , Аноним, 01-Ноя-22, 21:08 (30) //
- У Пети было 32 байта в буфере 24 он отдал Маше, а оставшиеся 128 8212 Ване , Аноним, 01-Ноя-22, 21:25 (37) //
  - у этой истории есть продолжение там где Петькины 24 байта застряли в Машкины, Аноним, 01-Ноя-22, 21:54 (38)
  - Хочешь сказать у Вани буфера больше, чем у Маши , Онаним., 01-Ноя-22, 23:57 (50)
  - Петя вставил данных Маше на 24, а Ване - на 128 На каком языке пишет Петя , Аноним, 02-Ноя-22, 10:18 (94) //
    - скорее всего руби, Аноним, 02-Ноя-22, 16:06 (121)
В Ф36 будет пакет openssl-3 0 5-2 fc36, а не 3 0 7Получается что это бэкпорт, и , penetrator, 01-Ноя-22, 22:03 (39) //
- Пусть страдают , анонимус, 01-Ноя-22, 23:12 (46)
Кросавчеги У любителей тащить в рот сертификаты автоматом очко на минус уже наве, Онаним., 01-Ноя-22, 23:56 (49) //
- Хотя там и клиентского будет достаточно К счастью, дело ограничилось 4 байтами , Онаним., 01-Ноя-22, 23:58 (51) //
  - Эх, недоработали современные вебмакаки В версии 4 сделают побольше переполнен, Аноним, 02-Ноя-22, 09:46 (86)
А нельзя как-то добавить в C типы данных вроде срез и проверять переполнение, а , Аноним, 02-Ноя-22, 01:46 (52) //
- Зачем что-то добавлять оно уже давно есть, зовется с , Аноним, 02-Ноя-22, 02:21 (54) //
  - Из с нужно как-то убрать сишные указатели на начало последовательности элемент, Аноним, 02-Ноя-22, 07:11 (65) //
    - std span, Аноним, 02-Ноя-22, 08:18 (73)
    - Если для ваших задач не нужен именно C , это не значит, что и всем остальным дл, Аноним, 02-Ноя-22, 08:53 (76)
      - как говорится никогда не говорите никогда master, slave, blacklist и кто зна, Аноним, 02-Ноя-22, 09:39 (83)
      - Причем здесь терминология Паскаль например тоже больше 50 лет назад появился Н, Аноним, 02-Ноя-22, 10:15 (93)
        
        А в С строки и вектора они появились только в стандарте C 2003, Аноним, 02-Ноя-22, 10:21 (95)
        В 2012 на С еще в каждой крупной библиотеке еще изобретали свои строки вместо , Аноним, 02-Ноя-22, 10:24 (96)
        
        Кутэ тому пример , Аноним, 02-Ноя-22, 10:50 (99)
        
        ладно qt, свои строки были даже в Ogre 3D и вроде бы wxwidget Ну вот зачем библи, Аноним, 02-Ноя-22, 16:04 (120)
        Когда Qt разрабатывали std string ещё небыло , Аноним, 02-Ноя-22, 18:48 (131)
        
        Это просто показывает насколько удобна, продумана и универсальна эталонная реали, Аноним, 02-Ноя-22, 13:28 (106)
        
        Или то насколько сложно перевести уже существующий продукт на новую библиотеку с, Аноним, 02-Ноя-22, 18:50 (133)
    - Очень простой рецепт не используй указатели , Аноним, 02-Ноя-22, 09:41 (84)
    - Зачем убирать Просто не используй , Аноним, 02-Ноя-22, 18:44 (130)
- Многого хотите - в Си ещё строки не определены в базовых типах До сих пор польз, iZEN, 02-Ноя-22, 09:18 (81) //
  - А паскаль-то не так уж и плох, как его ругают сишники , Аноним, 02-Ноя-22, 09:45 (85) //
    - Просто в Паскале компилятор самолично высчитывает длину строки А в Си компилято, Аноним, 03-Ноя-22, 16:14 (150)
      - На самом деле Си транслятор точно так же знает длину 171 строки 187 на этапе, n00by, 03-Ноя-22, 17:25 (151)
  - Потому что строки это синтаксический сахар Есть только области памяти с данными,, Ivan_83, 02-Ноя-22, 11:09 (101) //
    - Ошибаешься , Аноним, 02-Ноя-22, 12:03 (104)
      - Он не ошибается А твоё умозаключение приведёт тебя прямиком в ООП языки , Аноним, 03-Ноя-22, 16:12 (149)
        
        фу фу фу, не надо тогда нам этого сахара сегодня сахарка поюзал, а завтра уже с, Аноним, 04-Ноя-22, 02:00 (155)
Уязвимость не стали признавать критической только потому что в ubuntu и redhat в, Аноним, 02-Ноя-22, 10:09 (91) //
- И всё, точка , Аноним, 02-Ноя-22, 10:12 (92)
Лично мне кажется что чем больше выполняется проверок компилятором и статическим, Аноним, 02-Ноя-22, 10:35 (97) //
- Теперь ты понимаешь, почему растаманы не смогли сделать очередной божественный я, Аноним, 02-Ноя-22, 10:48 (98) //
  - мне всё равно что там не смогли сделать растоманы в kotlin очень много проверок, Аноним, 02-Ноя-22, 11:58 (102) //
    - софта на котлине - как на брейнфаке , Аноним, 02-Ноя-22, 12:02 (103)
      - Это ты так решил , Аноним, 02-Ноя-22, 14:30 (117)
        
        Это котлята столько написали , Аноним, 02-Ноя-22, 17:16 (127)
      - Значительная часть мобильных приложений для андроид, некоторые для ios через kot, Аноним, 02-Ноя-22, 16:00 (119)
        
        В моей организации 100500 работников и 9000 манагеров - и никто котлин не исполь, Аноним, 02-Ноя-22, 17:18 (128)
Переходим на bearssl Долой выделение памяти , Аноним, 02-Ноя-22, 16:27 (122)
Братья сишники спасайте, мне что теперь, от телефона отказываться In Android, Kl, Аноним, 03-Ноя-22, 08:12 (143) //
- Переходить на iphone, там нет ненавистного местным экспертам раста, Аноним, 03-Ноя-22, 15:32 (148)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру